La fondation Mozilla a annoncé, ce week-end, la disponibilité des
versions 1.0.3 de Firefox et 1.7.7 de Mozilla Suite. Ces nouvelles
versions corrigent neuf failles de sécurité, dont trois sont
qualifiées de "Critiques". La vulnérabilité la plus dangereuse
concerne la gestion des "favicons" qui, via une simple page web
malicieusement construite, pourrait permettre l'installation et
l'exécution d'un fichier malicieux (trojan, virus, backdoor...).
voir le test en ligne chez le SIRT
http://www.frsirt.com/actualite/20050417.FaillesMozilla.php
Mozilla atteint aujourd'hui le même niveau de failles que MS...
Peut-on considérer une version 0.x comme Béta au seul motif qu'elle est en 0.x ?
Il me semble que la fondation Mozilla a toujours dit qu'une version 0.x n'était pas assez fiable pour être utilisée en production.
Je confirme
Cedric Blancher
Le Sat, 23 Apr 2005 17:07:01 +0000, Pascal Chevrel a écrit :
IE6 existe pour Windows98 et Windows2000, mais IE6 avec les derniers patchs de sécurité n'existe que si tu passes à WindowsXPSP2. Quelle est la responsabilité de Microsoft vis à vis des corrections de bugs de sécurité d'internet Explorer 6 pour Windowss 98 et 2000 ?
C'est quoi le rapport avec les copies illicites ?
Mais bref, passons. De toute manière, c'est en droite ligne avec la politique de Microsoft. Ces produits sont end-of-life. C'est con hein ? Microsoft est un éditeur commercial qui a une politique de support de ses produits. Et tu es en plein dedans. Je ne dis pas que c'est bien, je dis juste que ça fait partie des choses qu'il faut savoir prendre en compte quand on choisit de faire tourner sa machine sous Windows...
-- BB - En admettant qu'on soit 5 [...] ca rapporterait net combien à chacun ? JG - 20 ans de placard. Les benefices ca se divisent, la reclusion ca s'additionne. -+- Bernard Blier et Jean Gabin, le Cave se Rebiffe
Le Sat, 23 Apr 2005 17:07:01 +0000, Pascal Chevrel a écrit :
IE6 existe pour Windows98 et Windows2000, mais IE6 avec les derniers
patchs de sécurité n'existe que si tu passes à WindowsXPSP2. Quelle est
la responsabilité de Microsoft vis à vis des corrections de bugs de
sécurité d'internet Explorer 6 pour Windowss 98 et 2000 ?
C'est quoi le rapport avec les copies illicites ?
Mais bref, passons. De toute manière, c'est en droite ligne avec la
politique de Microsoft. Ces produits sont end-of-life. C'est con hein ?
Microsoft est un éditeur commercial qui a une politique de support de ses
produits. Et tu es en plein dedans. Je ne dis pas que c'est bien, je dis
juste que ça fait partie des choses qu'il faut savoir prendre en compte
quand on choisit de faire tourner sa machine sous Windows...
--
BB - En admettant qu'on soit 5 [...] ca rapporterait net combien à chacun ?
JG - 20 ans de placard. Les benefices ca se divisent, la reclusion ca
s'additionne.
-+- Bernard Blier et Jean Gabin, le Cave se Rebiffe
Le Sat, 23 Apr 2005 17:07:01 +0000, Pascal Chevrel a écrit :
IE6 existe pour Windows98 et Windows2000, mais IE6 avec les derniers patchs de sécurité n'existe que si tu passes à WindowsXPSP2. Quelle est la responsabilité de Microsoft vis à vis des corrections de bugs de sécurité d'internet Explorer 6 pour Windowss 98 et 2000 ?
C'est quoi le rapport avec les copies illicites ?
Mais bref, passons. De toute manière, c'est en droite ligne avec la politique de Microsoft. Ces produits sont end-of-life. C'est con hein ? Microsoft est un éditeur commercial qui a une politique de support de ses produits. Et tu es en plein dedans. Je ne dis pas que c'est bien, je dis juste que ça fait partie des choses qu'il faut savoir prendre en compte quand on choisit de faire tourner sa machine sous Windows...
-- BB - En admettant qu'on soit 5 [...] ca rapporterait net combien à chacun ? JG - 20 ans de placard. Les benefices ca se divisent, la reclusion ca s'additionne. -+- Bernard Blier et Jean Gabin, le Cave se Rebiffe
Fabien LE LEZ
On 24 Apr 2005 19:25:26 GMT, Cedric Blancher :
sécurité d'internet Explorer 6 pour Windowss 98 et 2000 ?
C'est quoi le rapport avec les copies illicites ?
Mais bref, passons. De toute manière, c'est en droite ligne avec la politique de Microsoft. Ces produits sont end-of-life. C'est con hein ?
Ben justement, Microsoft était censé continuer à supporter Windows 2000. Mais apparemment, il est maintenant classé dans les versions non supportées, tout comme Windows 3.11 95.
Microsoft est un éditeur commercial qui a une politique de support de ses produits.
Sauf que quand Windows 2000 est sorti, Microsoft disait "Achetez sans crainte, on continuera à le supporter X années". Et depuis, un joli revirement.
-- ;-)
On 24 Apr 2005 19:25:26 GMT, Cedric Blancher
<blancher@cartel-securite.fr>:
sécurité d'internet Explorer 6 pour Windowss 98 et 2000 ?
C'est quoi le rapport avec les copies illicites ?
Mais bref, passons. De toute manière, c'est en droite ligne avec la
politique de Microsoft. Ces produits sont end-of-life. C'est con hein ?
Ben justement, Microsoft était censé continuer à supporter Windows
2000. Mais apparemment, il est maintenant classé dans les versions non
supportées, tout comme Windows 3.11 95.
Microsoft est un éditeur commercial qui a une politique de support de ses
produits.
Sauf que quand Windows 2000 est sorti, Microsoft disait "Achetez sans
crainte, on continuera à le supporter X années". Et depuis, un joli
revirement.
sécurité d'internet Explorer 6 pour Windowss 98 et 2000 ?
C'est quoi le rapport avec les copies illicites ?
Mais bref, passons. De toute manière, c'est en droite ligne avec la politique de Microsoft. Ces produits sont end-of-life. C'est con hein ?
Ben justement, Microsoft était censé continuer à supporter Windows 2000. Mais apparemment, il est maintenant classé dans les versions non supportées, tout comme Windows 3.11 95.
Microsoft est un éditeur commercial qui a une politique de support de ses produits.
Sauf que quand Windows 2000 est sorti, Microsoft disait "Achetez sans crainte, on continuera à le supporter X années". Et depuis, un joli revirement.
-- ;-)
Cedric Blancher
Le Mon, 25 Apr 2005 07:11:03 +0000, Fabien LE LEZ a écrit :
Ben justement, Microsoft était censé continuer à supporter Windows 2000.
Ben en fait, non. Ils ont même rallongé les durées de support en fait manifestement. Mais c'est assez incidieux. On te dit "je supporte le truc, mais pas les applications dont tu te sers tous les jours"...
Sauf que quand Windows 2000 est sorti, Microsoft disait "Achetez sans crainte, on continuera à le supporter X années".
Justement, ce X années se finissait en 2004 pour les workstations. Pour les serveurs, ça continue si je ne m'abuse. J'avais posté des liens là-dessus, sur les EOL de WNT, W2K, etc.
On commence à virer HS, mais ça me fait rire parfois. Quand j'ai commencé à mettre dans mes confs pro-LL que W2K n'allait pas tarder à passer end-of-life, et que forcément ça posait un problème un sécurité énorme, on me disait que j'étais de parti-pris (pas faux cependant), parano, que jamais ô grand jamais MS ne ferait ça. Ben voilà. À côté de ça, les noyaux 2.0 sont toujours supportés :)
-- <Netsabes>: Le thon, c'est bon <Netsabes>: Le thon blanc, c'est excellent <@ouedAway>: c'est le steak de lamer -+- Oued in Guide Petit Joueur: Aux sombres héros de lamer -+-
Le Mon, 25 Apr 2005 07:11:03 +0000, Fabien LE LEZ a écrit :
Ben justement, Microsoft était censé continuer à supporter Windows
2000.
Ben en fait, non. Ils ont même rallongé les durées de support en fait
manifestement. Mais c'est assez incidieux. On te dit "je supporte le truc,
mais pas les applications dont tu te sers tous les jours"...
Sauf que quand Windows 2000 est sorti, Microsoft disait "Achetez sans
crainte, on continuera à le supporter X années".
Justement, ce X années se finissait en 2004 pour les workstations. Pour
les serveurs, ça continue si je ne m'abuse. J'avais posté des liens
là-dessus, sur les EOL de WNT, W2K, etc.
On commence à virer HS, mais ça me fait rire parfois. Quand j'ai
commencé à mettre dans mes confs pro-LL que W2K n'allait pas tarder à
passer end-of-life, et que forcément ça posait un problème un sécurité
énorme, on me disait que j'étais de parti-pris (pas faux cependant),
parano, que jamais ô grand jamais MS ne ferait ça. Ben voilà. À côté
de ça, les noyaux 2.0 sont toujours supportés :)
--
<Netsabes>: Le thon, c'est bon
<Netsabes>: Le thon blanc, c'est excellent
<@ouedAway>: c'est le steak de lamer
-+- Oued in Guide Petit Joueur: Aux sombres héros de lamer -+-
Le Mon, 25 Apr 2005 07:11:03 +0000, Fabien LE LEZ a écrit :
Ben justement, Microsoft était censé continuer à supporter Windows 2000.
Ben en fait, non. Ils ont même rallongé les durées de support en fait manifestement. Mais c'est assez incidieux. On te dit "je supporte le truc, mais pas les applications dont tu te sers tous les jours"...
Sauf que quand Windows 2000 est sorti, Microsoft disait "Achetez sans crainte, on continuera à le supporter X années".
Justement, ce X années se finissait en 2004 pour les workstations. Pour les serveurs, ça continue si je ne m'abuse. J'avais posté des liens là-dessus, sur les EOL de WNT, W2K, etc.
On commence à virer HS, mais ça me fait rire parfois. Quand j'ai commencé à mettre dans mes confs pro-LL que W2K n'allait pas tarder à passer end-of-life, et que forcément ça posait un problème un sécurité énorme, on me disait que j'étais de parti-pris (pas faux cependant), parano, que jamais ô grand jamais MS ne ferait ça. Ben voilà. À côté de ça, les noyaux 2.0 sont toujours supportés :)
-- <Netsabes>: Le thon, c'est bon <Netsabes>: Le thon blanc, c'est excellent <@ouedAway>: c'est le steak de lamer -+- Oued in Guide Petit Joueur: Aux sombres héros de lamer -+-
Fabien LE LEZ
On 25 Apr 2005 07:17:54 GMT, Cedric Blancher :
On te dit "je supporte le truc, mais pas les applications dont tu te sers tous les jours"...
Remarque, si tous les utilisateurs de Windows 2000 pouvaient comprendre que quoi qu'ils fassent, ils ne peuvent pas utiliser IE en toute sécurité (de même que OE et toute la clique des mailers utilisant le moteur de rendu de IE), ça serait déjà un grand pas en avant...
-- "Avec Windows 3.11 les utilisateurs de PC étaient au bord du gouffre ; Windows 95 fût un grand pas en avant." Et ça continue...
On 25 Apr 2005 07:17:54 GMT, Cedric Blancher
<blancher@cartel-securite.fr>:
On te dit "je supporte le truc,
mais pas les applications dont tu te sers tous les jours"...
Remarque, si tous les utilisateurs de Windows 2000 pouvaient
comprendre que quoi qu'ils fassent, ils ne peuvent pas utiliser IE en
toute sécurité (de même que OE et toute la clique des mailers
utilisant le moteur de rendu de IE), ça serait déjà un grand pas en
avant...
--
"Avec Windows 3.11 les utilisateurs de PC étaient au bord du gouffre ;
Windows 95 fût un grand pas en avant."
Et ça continue...
On te dit "je supporte le truc, mais pas les applications dont tu te sers tous les jours"...
Remarque, si tous les utilisateurs de Windows 2000 pouvaient comprendre que quoi qu'ils fassent, ils ne peuvent pas utiliser IE en toute sécurité (de même que OE et toute la clique des mailers utilisant le moteur de rendu de IE), ça serait déjà un grand pas en avant...
-- "Avec Windows 3.11 les utilisateurs de PC étaient au bord du gouffre ; Windows 95 fût un grand pas en avant." Et ça continue...
Tyrion
Erwan David wrote:
D'ailleurs dans bugtraq le découvreur de la faille de firefox s'est plaint que la mozilla fondtaion avait été trop rapide pour sortir la POC du trou (http://www.securityfocus.com/archive/1/396091)
Le timing est en effet particulièrement rapide:
2005-04-12 Vendor informed (bugzilla.mozilla.org #290036) 2005-04-12 Vendor confirmed bug 2005-04-15 Vendor published fix, advisory and link to PoC (mfsa2005-37) 2005-04-18 This advisory
Excuse-moi si je pose une question naïve mais quel est le problème pour la fondation soit si rapide ?
En espérant éclairer mon esprit embrumé, Cordialement, Michael
Erwan David wrote:
D'ailleurs dans bugtraq le découvreur de la faille de firefox s'est
plaint que la mozilla fondtaion avait été trop rapide pour sortir la
POC du trou (http://www.securityfocus.com/archive/1/396091)
Le timing est en effet particulièrement rapide:
2005-04-12 Vendor informed (bugzilla.mozilla.org #290036)
2005-04-12 Vendor confirmed bug
2005-04-15 Vendor published fix, advisory and link to PoC (mfsa2005-37)
2005-04-18 This advisory
Excuse-moi si je pose une question naïve mais quel est le problème pour
la fondation soit si rapide ?
En espérant éclairer mon esprit embrumé,
Cordialement,
Michael
D'ailleurs dans bugtraq le découvreur de la faille de firefox s'est plaint que la mozilla fondtaion avait été trop rapide pour sortir la POC du trou (http://www.securityfocus.com/archive/1/396091)
Le timing est en effet particulièrement rapide:
2005-04-12 Vendor informed (bugzilla.mozilla.org #290036) 2005-04-12 Vendor confirmed bug 2005-04-15 Vendor published fix, advisory and link to PoC (mfsa2005-37) 2005-04-18 This advisory
Excuse-moi si je pose une question naïve mais quel est le problème pour la fondation soit si rapide ?
En espérant éclairer mon esprit embrumé, Cordialement, Michael
Cedric Blancher
Le Tue, 26 Apr 2005 13:31:58 +0000, Tyrion a écrit :
Excuse-moi si je pose une question naïve mais quel est le problème pour la fondation soit si rapide ?
C'est pas la rapidité amha qui gêne, c'est le fait qu'ils aient publiés l'advisory _et_ le PoC un _vendredi_ soir, et surtout sans manifestement prévenir l'auteur (côté froissage d'ego).
Grosse faille + PoC + week-end, c'est un poil beaucoup à la fois en effet...
-- La liberté d'entreprendre es une des base de notre économie,nous devons prendre garde en france que grace à nos intellectuels fatigués et fatigant ,toute publicité soit interdite et en fait casse le moteur du net. -+- AA in: Guide du Neuneu d'Usenet - La pub ou la vie -+-
Le Tue, 26 Apr 2005 13:31:58 +0000, Tyrion a écrit :
Excuse-moi si je pose une question naïve mais quel est le problème pour
la fondation soit si rapide ?
C'est pas la rapidité amha qui gêne, c'est le fait qu'ils aient publiés
l'advisory _et_ le PoC un _vendredi_ soir, et surtout sans manifestement
prévenir l'auteur (côté froissage d'ego).
Grosse faille + PoC + week-end, c'est un poil beaucoup à la fois en effet...
--
La liberté d'entreprendre es une des base de notre économie,nous devons
prendre garde en france que grace à nos intellectuels fatigués et fatigant
,toute publicité soit interdite et en fait casse le moteur du net.
-+- AA in: Guide du Neuneu d'Usenet - La pub ou la vie -+-
Le Tue, 26 Apr 2005 13:31:58 +0000, Tyrion a écrit :
Excuse-moi si je pose une question naïve mais quel est le problème pour la fondation soit si rapide ?
C'est pas la rapidité amha qui gêne, c'est le fait qu'ils aient publiés l'advisory _et_ le PoC un _vendredi_ soir, et surtout sans manifestement prévenir l'auteur (côté froissage d'ego).
Grosse faille + PoC + week-end, c'est un poil beaucoup à la fois en effet...
-- La liberté d'entreprendre es une des base de notre économie,nous devons prendre garde en france que grace à nos intellectuels fatigués et fatigant ,toute publicité soit interdite et en fait casse le moteur du net. -+- AA in: Guide du Neuneu d'Usenet - La pub ou la vie -+-
Florent Clairambault
Ca, c'est malheureusement vrai, en sachant en plus que SP2 refuse de s'installer sur des versions piratées de XP.
C'est faux, Microsoft laisse le SP2 s'installer sur TOUS les Windows XP. Ca va de paire avec l'obligation de forcer les grandes entreprises à adopter le SP2, c'est pour la sécurité et non pas pour la rentabilité.
Je répète pour les gens incrédules : Les versions piratées de Windows XP installent elles aussi (et automatiquement) le SP2.
(il faut quand même pas tout transformer)
Florent
Ca, c'est malheureusement vrai, en sachant en plus que SP2 refuse de
s'installer sur des versions piratées de XP.
C'est faux, Microsoft laisse le SP2 s'installer sur TOUS les Windows XP. Ca
va de paire avec l'obligation de forcer les grandes entreprises à adopter le
SP2, c'est pour la sécurité et non pas pour la rentabilité.
Je répète pour les gens incrédules : Les versions piratées de Windows XP
installent elles aussi (et automatiquement) le SP2.
Ca, c'est malheureusement vrai, en sachant en plus que SP2 refuse de s'installer sur des versions piratées de XP.
C'est faux, Microsoft laisse le SP2 s'installer sur TOUS les Windows XP. Ca va de paire avec l'obligation de forcer les grandes entreprises à adopter le SP2, c'est pour la sécurité et non pas pour la rentabilité.
Je répète pour les gens incrédules : Les versions piratées de Windows XP installent elles aussi (et automatiquement) le SP2.
(il faut quand même pas tout transformer)
Florent
Florent Clairambault
Pour les versions 1.x oui, mais si l'on rajoute les versions 0.x ça monte déjà à 36. 36 failles en 11 mois, contre 64 en 27 mois pour IE 6, auquel tu as toi-même choisi de restreindre ta comparaison ; ce qui en soit n'est pas irréaliste, car les utilisateurs de Firefox ont majoritairement une culture de mise à jour, ce qui n'est pas le cas pour ceux d'Internet Explorer. Si la notion de progression linéaire avait une quelconque réalité en sécurité informatique (ce qui n'est pas le cas), dans 16 mois Firefox aurait 88 failles...
Mais tu sais pourquoi ça s'appelle les versions 0.x ??? C'est parce que ce ne sont pas des versions FINIES.
Donc s'il y'a des failles dans Firefox 0.x c'est NORMAL, ça fait parti des étapes de développement d'un logiciel. Et personne n'a prétendu que les versions 0.X étaient stables, et la pub pour Mozilla n'a réllement commencé qu'à partir du moment où la version 1 a été lancée...
Bref, la c'est de la mauvaise foi.
Florent
Pour les versions 1.x oui, mais si l'on rajoute les versions 0.x ça
monte déjà à 36. 36 failles en 11 mois, contre 64 en 27 mois pour IE 6,
auquel tu as toi-même choisi de restreindre ta comparaison ; ce qui en
soit n'est pas irréaliste, car les utilisateurs de Firefox ont
majoritairement une culture de mise à jour, ce qui n'est pas le cas
pour ceux d'Internet Explorer.
Si la notion de progression linéaire avait une quelconque réalité en
sécurité informatique (ce qui n'est pas le cas), dans 16 mois Firefox
aurait 88 failles...
Mais tu sais pourquoi ça s'appelle les versions 0.x ??? C'est parce que ce
ne sont pas des versions FINIES.
Donc s'il y'a des failles dans Firefox 0.x c'est NORMAL, ça fait parti des
étapes de développement d'un logiciel. Et personne n'a prétendu que les
versions 0.X étaient stables, et la pub pour Mozilla n'a réllement commencé
qu'à partir du moment où la version 1 a été lancée...
Pour les versions 1.x oui, mais si l'on rajoute les versions 0.x ça monte déjà à 36. 36 failles en 11 mois, contre 64 en 27 mois pour IE 6, auquel tu as toi-même choisi de restreindre ta comparaison ; ce qui en soit n'est pas irréaliste, car les utilisateurs de Firefox ont majoritairement une culture de mise à jour, ce qui n'est pas le cas pour ceux d'Internet Explorer. Si la notion de progression linéaire avait une quelconque réalité en sécurité informatique (ce qui n'est pas le cas), dans 16 mois Firefox aurait 88 failles...
Mais tu sais pourquoi ça s'appelle les versions 0.x ??? C'est parce que ce ne sont pas des versions FINIES.
Donc s'il y'a des failles dans Firefox 0.x c'est NORMAL, ça fait parti des étapes de développement d'un logiciel. Et personne n'a prétendu que les versions 0.X étaient stables, et la pub pour Mozilla n'a réllement commencé qu'à partir du moment où la version 1 a été lancée...
Bref, la c'est de la mauvaise foi.
Florent
William Marie
"Xavier" a écrit dans le message de news: 1gvblo6.oa17tdsye2kqN%
Ca, c'est malheureusement vrai, en sachant en plus que SP2 refuse de s'installer sur des versions piratées de XP.
Arf ! Va écrire ça sur un forum binaire et tu feras rire du
monde...
... et un peu moins les utilisateurs honnêtes (= qui ont payés) et qui ont que des ennuis avec ces histoires de validation anti piratage. -- ========================================================== William Marie Toulouse (France) mailto: ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net par free.fr http://wmarie.free.fr ===========================================================
"Xavier" <xavier@groumpf.org> a écrit dans le message de news:
1gvblo6.oa17tdsye2kqN%xavier@groumpf.org...
Ca, c'est malheureusement vrai, en sachant en plus que SP2 refuse de
s'installer sur des versions piratées de XP.
Arf ! Va écrire ça sur un forum binaire et tu feras rire du
monde...
... et un peu moins les utilisateurs honnêtes (= qui ont payés) et
qui ont que des ennuis avec ces histoires de validation anti piratage.
--
========================================================== William Marie
Toulouse (France)
mailto:wmarie@trapellun.net
ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net
par free.fr
http://wmarie.free.fr
===========================================================
"Xavier" a écrit dans le message de news: 1gvblo6.oa17tdsye2kqN%
Ca, c'est malheureusement vrai, en sachant en plus que SP2 refuse de s'installer sur des versions piratées de XP.
Arf ! Va écrire ça sur un forum binaire et tu feras rire du
monde...
... et un peu moins les utilisateurs honnêtes (= qui ont payés) et qui ont que des ennuis avec ces histoires de validation anti piratage. -- ========================================================== William Marie Toulouse (France) mailto: ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net par free.fr http://wmarie.free.fr ===========================================================
