La dernière faille de Firefox corrigée

Le par  |  32 commentaire(s) Source : CNET News
firefox logo

Sitôt dévoilée, sitôt corrigée, pourrait-on dire.

Sitôt dévoilée, sitôt corrigée, pourrait-on dire. La Fondation Mozilla propose un correctif temporaire contre une vulnérabilité annoncée hier.

Firefox logoDans une de nos news précédentes, nous faisions état d'une vulnérabilité affectant toutes les versions du navigateur Internet Mozilla Firefox.

Liée à la manière dont ce navigateur (et ses cousins sous Gecko) gère les IDN (International Domain Names), cette faille permettrait l'éxécution d'un code malicieux, en lors de la visite de sites Internet dont l'URL contient un grand nombre de caractères, incluant des tirets.

Comme on le souligne chez Mozilla, le correctif présenté aujourd'hui est temporaire; la faille devrait être totalement éradiquée avec la sortie de la bêta 2 de Firefox 1.5.

De plus, Mozilla propose de modifier la façon dont le navigateur gère les IDN via le très pratique menu "about:config": il suffit de double-cliquer sur la ligne "network.enableIDN", et de modifier la valeur de "true" à "false".

Le correctif est quant à lui disponible au téléchargement gratuit ici.
Complément d'information

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #58870
Le contournement est une manière "temporaire" de corriger le problème.

Cependant, m'étant abonné au bug qui concerne la faille, celle ci est maintenant officiellement morte.

Voici le dernier message reçu :

"Do not reply to this email. You can add comments to this bug at
https://bugzilla.mozilla.org/show_bug.cgi'id=307259


dbaron@mozillafoundation.org changed:

What |Removed |Added
----------------------------------------------------------------------------
AssignedTo|nobody@mozilla.org |dbaron@mozillafoundation.org
Keywords| |fixed1.8
Priority|-- |P1
Target Milestone|--- |mozilla1.8beta5
Status|NEW |RESOLVED
Resolution| |FIXED




------- Additional Comments From dbaron@mozillafoundation.org 2005-09-10 00:16 PDT -------
attachment 195424 checked in to trunk, 2005-09-09 12:06 -0700.
attachment 195425 checked in to AVIARY_1_0_1_20050124_BRANCH, 2005-09-09 16:33
-0700.
attachment 195425 checked in to MOZILLA_1_7_BRANCH, 2005-09-09 16:34 -0700.
attachment 195424 checked in to MOZILLA_1_8_BRANCH, 2005-09-10 00:12 -0700.


-- Configure bugmail: https://bugzilla.mozilla.org/userprefs.cgi'tab=email "

Traduit en clair : corrigé sur le tronc (les versions 1.6 alpha1), la branche 1.0.x de Firefox (donc un fx 1.0.7 bientôt), la branche 1.5 béta de firefox et celle de Mozilla 1.7

Donc il est à prévoir une sortie de Mozilla 1.7.12 et de Firefox 1.0.7 assez rapidement.
Le #58872
Pour ceux qui ne désirent pas effectuer l'installation du patch depuis le site Generation-Nt par manque de confiance, voici l'adresse originale du téléchargement :
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/307259.xpi
Le #58873
"Pour ceux qui ne désirent pas effectuer l'installation du patch depuis le site Generation-Nt par manque de confiance"

'''!!!


Le #58874
Méchant, Lion Hell.

Cependant, faire la modification via about:config coute 30 secondes, montre en main.

A propos, j'ai compilé une version du tronc ce matin, et le test de plantage l'a profondément dans le fion
Le #58880
Lion Hell > m'enfin, qu'est-ce que tu fais sur GNT alors

truthonly > 8 secondes... qui dit mieux
Le #58882
"De plus, Mozilla propose de modifier la façon dont le navigateur gère les IDN via le très pratique menu "about:config": il suffit de double-cliquer sur la ligne "network.enableIDN", et de modifier la valeur de "true" à "false"."

Heu... Je crois que le patch fait justement ça. Je l'ai installé et rebooté FX, je suis ensuite allé voir dans about:config et la valeur était déjà sur false (alors qu'elle ne l'était pas avant l'installation du patch).

Clair que si on reboot pas le patch n'est pas pris en compte (a noter que reboot de firefox signifie que toutes ses fenêtres doivent être fermées, y compris le gestionnaire de téléchargement etc...)
Anonyme
Le - Editer #58885
Sitôt dévoilée, sitôt corrigée ' C'est pas comme Wind'aube ' le 2ème mardi de chaque mois après 19 heures '
Le #58892
euh... About - config '''' C'est quoi donc ' et on y accède comment '''
Anonyme
Le #58894
Et voilà !
C'est là qu'on voit la différence entre le géant de Redmond et l'open source.
Alors que Microsoft repousse un patch ou met du temps à le mettre en ligne, Firefox est corrigé (même temporairement çà compte) dès le lendemain.
Le #58898
about:config dans la barre d'adresse,entrée,c'est par ordre alphabetique.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]