Firefox 3.6 : Mozilla confirme une faille 0-day

Le par  |  6 commentaire(s)
Firefox_Nouveau_Logo

Mozilla confirme l'existence d'une vulnérabilité critique d'exécution de code à distance dans la dernière version de Firefox. Elle sera corrigée pour tous le 30 mars avec la diffusion de Firefox 3.6.2.

Firefox_Nouveau_LogoAu mois de février dernier, un chercheur russe en sécurité informatique avait annoncé la découverte d'une vulnérabilité de sécurité 0-day affectant le navigateur Firefox 3.6. Evgeny Legerov s'était montré néanmoins avare en détails, refusant notamment d'en dire plus à Mozilla.

Cet étrange mutisme critiqué par Mozilla n'avait pas empêché la société Secunia d'émettre un avis de sécurité hautement critique au sujet de cette faille. Reste que cette manière de procéder faisait planer un doute quant à la réalité de cette dernière.

Evgeny Legerov a fini par prendre contact avec Mozilla pour communiquer suffisamment de détails afin que le problème puisse être reproduit et analysé. Mozilla confirme ainsi une vulnérabilité critique qui peut être exploitée pour l'exécution de code à distance par un attaquant.

Ce problème de sécurité est propre à la version 3.6 de Firefox et les versions antérieures ne sont pas affectées. Mozilla ne s'étend pas sur le sujet mais indique que le bug de sécurité en question a d'ores et déjà été comblé. Cette correction sera intégrée dans la prochaine version de maintenance de Firefox 3.6 qui sera estampillée 3.6.2 ( pas de 3.6.1 ? ) et sera publiée le 30 mars 2010.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #613901
C'est un peu long comme délai. Cela doit faire 4 ou 5 jours que la mise à jour automatique en 3.6.2 m'a été proposée. Elle fonctionne sans problème.
Le #614001
Bah les builds de la 3.6.2 sont toujours en test cette semaine.
http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.6.2-candidates/
Perso j'ai installée la dernière build la sem dernière et elle fonctionne très bien.

Sinon il n'y a pas de 3.6.1 pour rester en phase avec le numéro de version du moteur Gecko (1.9.2.2 dans la mise à jour de ce mois).
Le #614101
myzok>tu as sans doute dû installer une version de developpement, c'est pour ça qu'il te propose les nouvelles mises à jour de versions de développement...
Le #614161
En effet, mais je voulais juste dire que pour une faille dont le correctif est connu, c'est un peu dommage de devoir patienter 2 semaines pour que tout le monde en profite. Même si c'est relativement peu par rapport à d'autres logiciels...
Le #614261
La faille peut-être considérée comme "comblée", Firefox 3.6.2 vient de sortir.

http://www.mozilla-europe.org/fr/firefox/3.6.2/releasenotes/

https://bugzilla.mozilla.org/show_bug.cgi?id=552216


Anonyme
Le #614271
Effectivement
MAJ auto ce matin
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]