Firefox new logo Chose promise, chose due. Après les misères infligées au webmail de Google par la vulnérabilité jar vieille de 9 mois, Mozilla avait annoncé pour cette semaine une nouvelle mouture de son fureteur. Firefox 2.0.0.10 corrige donc cette faille et le risque d'attaques XSS que sa présence générait (voir notre actualité).

La petite surprise vient du fait que deux autres problèmes de sécurité à l'impact qualifié d'élevé sont également pris en charge. Pour l'un, il s'agit en réalité d'un ensemble d'erreurs de corruption de mémoire qui ont été mis en évidence par plusieurs crashes, et pour l'autre d'une erreur présente au niveau de la gestion de la propriété windows.location qui pourrait être utilisée pour conduire des attaques de type Cross-Site Request Forgery. Contrairement aux attaques de type XSS, les attaques CSRF exploitent la confiance du site Web envers ses utilisateurs et non l'inverse; la faille qui affectait Gmail fin septembre en est un exemple typique.

La publication de cette version 2.0.0.10 de Firefox entre dans le cadre du processus permanent de mises à jour de stabilité et de sécurité de la Mozilla Corporation. A défaut d'utiliser le module de mise à jour automatique, Firefox 2.0.0.10 pour Windows, Mac OS X et Linux peut être téléchargé à cette adresse.