Firefox et Thunderbird : des failles critiques corrigées
Le par Bruno C.
Mozilla nous a proposé hier la version 1.
Une dernière pour la route '
Cette version 1.5.0.7, qui sera probablement la dernière des versions 1.5x en attendant la future 2.0, apporte la correction de 59 bugs.
Mais, outre ces bugs gênants, cette nouvelle version corrige surtout 7 failles dont 4 qualifiées de critiques ! Mozilla recommande donc à tous de procéder au plus vite à la mise à jour de leur version.
Ces failles sont les suivantes :
critiques :
- MFSA 2006-64 Crash suite à une corruption de la mémoire (rv:1.8.0.7)
- MFSA 2006-60 RSA (fausse signature)
- MFSA 2006-59 Vulnérabilité concernant la concomitance
- MFSA 2006-57 Corruption JavaScript
modérées :
- MFSA 2006-62 Bloqueur de Popup compromis (XSS)
- MFSA 2006-58 Système de mise à jour compromis à travers DNS et SSL spoofing
mineures :
- MFSA 2006-61 Spoofing des Frame en utilisant document.open()
Télécharger Firefox 1.5.0.7 en français pour Windows
Télécharger Firefox 1.5.0.7 en français pour Mac OS
Télécharger Firefox 1.5.0.7 en français pour Linux
Les deux font la paire
On retrouve la même chose du côté de Thunderbird, le client de messagerie de Mozilla.Outre la douzaine de bugs plus ou moins gênants, on retrouve 6 failles dont 2 qualifiées de critiques.
critiques :
- MFSA 2006-64 Crash suite à une corruption de la mémoire (rv:1.8.0.7)
- MFSA 2006-60 RSA (fausse signature)
- MFSA 2006-63 Execution de JavaScript via XBL
modérées :
- MFSA 2006-59 Vulnérabilité concernant la concomitance
- MFSA 2006-57 Corruption JavaScript
mineures :
- MFSA 2006-58 Système de mise à jour compromis à travers DNS et SSL spoofing
Télécharger Thunderbird 1.5.0.7 en français pour Windows
Télécharger Thunderbird 1.5.0.7 en français pour Mac OS
Télécharger Thunderbird 1.5.0.7 en français pour Linux
Complément d'information
-
Pour une fois, nous ne parlerons pas des failles affectant notre Internet Explorer préféré (!), mais ses concurrents directs, à savoir la gamme de produits Mozilla/Thunderbird et Firefox. -
Malgré un Award au LinuxWorld Conference & Expo (Best Open Source Solution), on ne dors pas chez Mozilla puisque 4 nouvelles failles de sécurités viennent d'être bouchées et ce pour les 3 produits.
Poser une question
Rien ne dit qu'il n'y aura pas une version 1.5.0.x avec x au minimum égal à 8 après la sortie de Firefox 2.0.
De plus - et sauf erreur de ma part - firefox 1.5.0.x sera supporté au minimum jusqu'à la sortie de firefox 3.0, prévu pour juin prochain, non '
En ce qui concerne les failles liées à JS, Thunderbird est POTENTIELLEMENT moins vulnérable, le JS étant désactivé par défaut dans celui-ci.
En ce qui concerne le 2006-57, le descriptif contient une phrase intéressante :
"We presume this could be exploited to run arbitrary code." =>"Nous présumons que cela pourrait être exploité pour lancer du code arbitraire".
Conditionnel, donc.
Sur le 2006-59 :
"We have seen no demonstration that these crashes could be reliably exploited, but they do show evidence of memory corruption so we presume they could be." =>"Nous n'avons vu aucune démonstration de ces crashs pouvant être exploités de manière fiable, mais ils démontrent l'existance d'une corruption mémoire donc nous prémusons qu'ils pourraient être exploitables."
Le problème ce n'est pas les failles : c'est leur exploitation. Et avec des parts de marché mondiale allant de 10 (onestat) à 25-30% (xiti), il deviendrait quand même plus intéressant à être vérolé, le panda rouge, non '
Sinon, jette un oeil sur la documentation d'ubuntu-fr.org (http://doc.ubuntu-fr.org/applications/firefox), mais tu risques de te prendre la tête pour rien.
Et de manière générale, jette un oeil sur les forums d'ubuntu-fr.org, tu y trouveras de nombreuses personnes pour t'y aider, y compris moi, si je suis de bien luné