Un patch a récemment été intégré dans le repository de Firefox et a été conçu pour mieux sécuriser le navigateur en forçant certains addons binaires à utiliser ASLR (Address Space Layout Randomisation) sous Windows.
Les développeurs de Mozilla disent que ce changement (qui est une technique qui permet de placer de façon aléatoire les données dans la mémoire virtuelle afin de limiter les attaques de type buffer overflow) devrait être intégré dans Firefox 13 "si aucun problème inattendu survient".
Quels problèmes pourraient survenir ? Par exemple les produits des sociétés d'antivirus comme McAfee ne fonctionneraient plus. Pas plus tard que l'année dernière, il a été noté que leurs produits été compilés sans ASLR dans le navigateur. Et si encore il n'y avait que ça...
Kyle Huey, l'auteur de ce patch, note que depuis que ASLR est activé par défaut dans les versions modernes de Visual Studio, le patch n'a eu aucun effet néfaste pour les développeurs d'addons binaires. Il a aussi laissé un commentaire sur Bugzilla disant que la mise en place du patch pour toutes les DLL partagées s'avérerait trop difficile (et je le comprends...). Seules les bibliothèques qui utilisent le framework Mozilla XPCOM seront donc affectées par ce changement.
Bravo Mozilla