Nouvelles failles pour les navigateurs Mozilla
Si l’on en croit notre confrère Secuser.com, de nouvelles vulnérabilités auraient fait leur apparition dans les navigateurs Web Mozilla et Firefox. Au total, ce ne sont pas moins de neuf failles qui ont été mises en avant dont trois jugées critiques. Comme souvent, une personne malintentionnée pourrait passer par ces trous de sécurité pour prendre le contrôle à distance de la machine infectée ou encore y installer un logiciel espion. Ces actions pourraient par exemple être réalisées lors de l’ouverture d’une page d’un site pirate exploitant ces failles.Plus précisément, les communiqués de sécurité de Mozilla nous en disent un peu plus concernant ces vulnérabilités. Par exemple, la gestion des favicons semble problématique et pourrait autoriser l’exécution de code malicieux. Il en va de même pour les appels aux fonctions de recherche ainsi que pour la gestion des objets DOM.
Soyez tout de même rassurés puisque ces failles de sécurité ont été corrigées dans les dernières versions des logiciels concernés, respectivement Firefox 1.0.3 et Mozilla Suite 1.7.7. L’éditeur recommande vivement de passer à ces versions si vous ne l’avez pas encore fait.
52
Commentaires
Test Alimentation LC Power LC6480S
- Concours PPC : Barebone et LCD Shuttle, 1 an de tirages photos...
- Une architecture AMD K9 à quatre cores ?
- Vingt années de Windows ca se fête
- Georges Walker Bush ne reçoit pas de courier
- Samsung fait sa photo
- Test des ventirads Vanessa L et Vanessa S
- LCD : l'offensive Samsung
- Des détails sur l'appétit de Cegetel
- Appétit féroce aussi chez Adobe
WiMAX : Intel lance sa puce
- Philips : les bénéfices mis à mal par les ecrans LCD
- MSI présente son Mega Stick 528
- Opera : Acte VIII
- Moniteur LG L1915S 19 pouces sous les 300 €
- La pub migre de la télé vers Internet
- Gigabyte lance sa carte mère chipset 955X express
- Etats-Unis : des hackers militaires ?
- Résultats du concours Dicota
- Seagate booste les capacités des portables
Liens commerciaux
Autres catégories :
Publicité
Dernières actus
A voir aussi
Actus et dossiers
Forum
S E C U S E R A L E R T E 18/04/05
http://www.secuser.com/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Vulnérabilités critiques dans Firefox et Mozilla
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. RESUME DE L'ALERTE
2. LOGICIEL(S) CONCERNE(S)
3. CORRECTIF DISPONIBLE
4. AIDE ET DISCUSSION
5. FAIRE CONNAITRE SECUSER ALERTE
6. CONTACTER SECUSER.COM
7. DESABONNEMENT ET CHANGEMENT D'ADRESSE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Neuf vulnérabilités dont trois critiques ont été découvertes dans Firefox
et Mozilla, deux navigateurs alternatifs au navigateur Internet Explorer de
Microsoft. Les failles critiques permettent à un individu malveillant de
prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus
de s'exécuter automatiquement à l'ouverture d'une page web piégée.
http://www.secuser.com/communiques [...] irefox.htm
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2. LOGICIEL(S) CONCERNE(S)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Firefox 1.0.2 et versions inférieures
Mozilla Suite 1.7.6 et versions inférieures
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3. CORRECTIF DISPONIBLE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Les utilisateurs concernés doivent télécharger immédiatement la nouvelle
version correspondant à leur logiciel sur le site de l'éditeur.
http://www.secuser.com/communiques [...] #correctif
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4. AIDE ET DISCUSSION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Détail de l'alerte sur le site de l'éditeur
http://www.mozilla.org/security/an [...] 05-33.html
http://www.mozilla.org/security/an [...] 05-34.html
http://www.mozilla.org/security/an [...] 05-35.html
http://www.mozilla.org/security/an [...] 05-36.html
http://www.mozilla.org/security/an [...] 05-37.html
http://www.mozilla.org/security/an [...] 05-38.html
http://www.mozilla.org/security/an [...] 05-39.html
http://www.mozilla.org/security/an [...] 05-40.html
http://www.mozilla.org/security/an [...] 05-41.html
Précédents communiqués sécurité
http://www.secuser.com/communiques/
Déterminer le numéro de version d'un logiciel
http://www.secuser.com/faq/securite/#numero_version
Identifier les fausses alertes virus et sécurité
http://www.secuser.com/antihoax/gratuit/
Dernières nouvelles de la sécurité informatique
http://www.secuser.com/actu/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
5. FAIRE CONNAITRE SECUSER ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Si vous pensez que cette lettre peut rendre service à un proche,
vous pouvez l'inviter à s'abonner ou à découvrir le site Secuser.com.
http://www.secuser.com/services/invitation/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
6. CONTACTER SECUSER.COM
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Pour nous contacter, merci de ne pas répondre à ce message mais de choisir
l'adresse destinataire appropriée dans la page Contact. Cette page apporte
par ailleurs une réponse immédiate aux questions non traitées par courriel.
http://www.secuser.com/contact/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7. DESABONNEMENT ET CHANGEMENT D'ADRESSE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Afin d'assurer la gratuité du service, les opérations d'abonnement et de
désabonnement ont été automatisées. Pour changer votre adresse e-mail ou
vous désabonner, cliquez simplement sur le lien ci-dessous.
http://infolettre.secuser.com/msm. [...] 2165018244
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
La liste Secuser Alerte est une publication gratuite
du site Secuser.com (http://www.secuser.com/)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Reproduction interdite sans accord écrit préalable
dans le cas d'une utilisation autre que privée
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Copyright (c) 2001-2005 Emmanuel JUD
Secuser est une marque déposée
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Powered by Splio Pro (http://www.splio.fr/)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ils concurrencent de plus en plus IE, les bûtineurs parallèles
je croyais que mozilla ne devait plus voir de nouvelle version apres la 1.7.5 ?
(quoi que, là c'est pas vraiment une nouvelle version, mais plutot des correction de bugs et failels de sécu..)
C'est quand même rassurant que l'on publie les failles de Firefox/Mozilla APRES la mise en disponibilité des versions de ces softs qui les corrigent, ce n'est pas toujours la même chose avec IE.
Il est vrai que comme IE et désormais Firefox, plus un logiciel est complexe, plus il a de failles, le tout est de le savoir.
moi je trouve qu'ils sont assez réactifs ... pour firefox il leur a pas fallu longtemps pour corriger les failles javascripts et celles ci sont aussi corrigées ... donc voilà il suffit de passer en 1.0.3
c'est aussi pour ça que j'opte pour firefox
A noter que :
FF 1.0.4 :
http://www.artfiles.org/mozilla.or [...] taller.exe GB*
http://www.artfiles.org/mozilla.or [...] taller.exe FR
*Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.7.8) Gecko/20050417 Firefox/1.0.4
la 1.0.4 est encore en béta non ?
C'est une nightly build du CVS ouaip
(quoi que, là c'est pas vraiment une nouvelle version, mais plutot des correction de bugs et failels de sécu..)
http://www.presence-pc.com/actuali [...] sion-9059/
http://slashdot.org/article.pl?sid [...] d=95&tid=1
Et dire que l'open source etait censé eviter tt ces pbl ...
Absolument pas. L'open source aide à la correction rapide des failles et ne fait pas sécurité par l'obscurantisme.
D'ailleurs il y aura probablement aussi un mozilla 1.8 mais lui ne sera pas officielement supporté par la fondation mozilla et portera sans doute plus le nom de mozilla mais seulement seamonkey.
Enfin en général, même lorsequ'ils annoncent une faille avant la correction, les sites de sécurité evitent d'en dire trop, si elle ne doit pas être corrigée plus vite que l'on réalise des exploits.
Il à beaucoup d'avantage mais à ce niveau là il est au même niveau que le propriétaire. On ne fait pas de securité par l'obscurantisme: les failles sont donc plus facille à détecter et mais donc aussi plus rapides à corriger.
Ils concurrencent de plus en plus IE, les bûtineurs parallèles
Parce que certains arrivent encore à comparer IE et mozz/ff/thunderbird sur les aspects sécurités ??
En gros ça ne sert à rien ce qu'ils font quoi, à part lancer des trolls sur les forums
Ils sont de mèche avec PPC... c'est honteux.
La ramener sur un tel sujet dans une news où on annonce les dernières failles des machins, ça le fait bien, quand même...
La ramener sur un tel sujet dans une news où on annonce les dernières failles des machins, ça le fait bien, quand même...
Oui ... heu ... mais ... tu comprend ya des failles mais c'est pas les mêmes
C'est comme la difference entre un bon et un mauvais chasseur
le mauvais chasseur il tue le bon chasseur en le prenant pour un lapin![[:grut]](http://img.infos-du-net.com/forum/images/perso/grut.gif)
il tue la chienne du chasseur
![[:maitre capello]](http://img.infos-du-net.com/forum/images/perso/maitre capello.gif)
tes sur que c'est sa chienne?![[:amiguitou]](http://img.infos-du-net.com/forum/images/perso/amiguitou.gif)
Nan nan il tue son gamin comme dans la chansson :http://michelnet2.free.fr/mp3/remi [...] asseur.mp3
(sur l'air d'ingenieur informaticien)
Je suuuuis chasseur et je tire sur tout ce qui bouge
sur un cerf ou un lapin heeeuuuuuuuu
sur mon chien ou mon gamin heeeeeeeeeeeeeeu
Absolument pas. L'open source aide à la correction rapide des failles et ne fait pas sécurité par l'obscurantisme.
euh je suis le seul a pas comprendre ?
qu'est-ce que vous appelez "sécurité par l'obscurantisme"
demande à Darth Vader, ou Obi-Wan kenobi
![[:topicalacon]](http://img.infos-du-net.com/forum/images/perso/topicalacon.gif)
euh je suis le seul a pas comprendre ?
qu'est-ce que vous appelez "sécurité par l'obscurantisme"
Cacher les sources pour cacher les failles
bé si il cache les sources ce n'est plus de l'open source alors ...
parce que tu croyais IE opensource ?
Et dire que l'open source etait censé eviter tt ces pbl ...
Justement, le problème c'est un spyware, un virus ou un trojan qui infecte ta machine, pas la faille en elle même.
D'autant qu'un logiciel aussi complexe qu'un navigateur sera toujours un point épineux.
bé si il cache les sources ce n'est plus de l'open source alors ...
heeuuuu
nan rien
Nan nan il tue son gamin comme dans la chansson :http://michelnet2.free.fr/mp3/remi [...] asseur.mp3
(sur l'air d'ingenieur informaticien)
Je suuuuis chasseur et je tire sur tout ce qui bouge
sur un cerf ou un lapin heeeuuuuuuuu
sur mon chien ou mon gamin heeeeeeeeeeeeeeu
il tue son gamin ET sa chienne, mais ce qu'il retient, c'est sa chienne
"oui mais enfin, bon, c'est sûr qu'une chienne comme zézette, j'en retrouverai jamais une comme ça, hein
Oui ... heu ... mais ... tu comprend ya des failles mais c'est pas les mêmes
C'est comme la difference entre un bon et un mauvais chasseur
Aucun rapport.
On compare un système de correction rapide à un système ou on se demande si ils ont toujours les sources.
Le seul défaut de la suite mozz viens amha des mise à jour dans les langues non US (langues us je n'ai jamais de souci en localisation fr c'est la croix la bannière)