La fondation Mozilla a annoncé, ce week-end, la disponibilité des
versions 1.0.3 de Firefox et 1.7.7 de Mozilla Suite. Ces nouvelles
versions corrigent neuf failles de sécurité, dont trois sont
qualifiées de "Critiques". La vulnérabilité la plus dangereuse
concerne la gestion des "favicons" qui, via une simple page web
malicieusement construite, pourrait permettre l'installation et
l'exécution d'un fichier malicieux (trojan, virus, backdoor...).
voir le test en ligne chez le SIRT
http://www.frsirt.com/actualite/20050417.FaillesMozilla.php
Mozilla atteint aujourd'hui le même niveau de failles que MS...
Excuse-moi si je pose une question naïve mais quel est le problème pour la fondation soit si rapide ?
Exemple : Sous ma Debian / Testing sur mon powerpc (je ne sais pas si c'est le cas sur les versions x86 mais je pense), Firefox est toujours en version 1.0.2. Et je n'ai pas envie de le compiler moi même.
Donc, en gros, j'utilise une version de Firefox vérolée depuis environ une semaine déja. En même temps, je ne risque pas grand chose vu que je suis 1. sous powerpc et que tout le monde s'en fout du powerpc. 2. sous Linux, avec un script shell on pourrait massacrer quelques trucs, mais bon rien de trés interressant (enfin, on pourrait quand même me supprimer tous mes fichiers perso en 2 temps 3 mouvements).
Florent
Excuse-moi si je pose une question naïve mais quel est le problème pour la
fondation soit si rapide ?
Exemple : Sous ma Debian / Testing sur mon powerpc (je ne sais pas si c'est
le cas sur les versions x86 mais je pense), Firefox est toujours en version
1.0.2. Et je n'ai pas envie de le compiler moi même.
Donc, en gros, j'utilise une version de Firefox vérolée depuis environ une
semaine déja. En même temps, je ne risque pas grand chose vu que je suis 1.
sous powerpc et que tout le monde s'en fout du powerpc. 2. sous Linux, avec
un script shell on pourrait massacrer quelques trucs, mais bon rien de trés
interressant (enfin, on pourrait quand même me supprimer tous mes fichiers
perso en 2 temps 3 mouvements).
Excuse-moi si je pose une question naïve mais quel est le problème pour la fondation soit si rapide ?
Exemple : Sous ma Debian / Testing sur mon powerpc (je ne sais pas si c'est le cas sur les versions x86 mais je pense), Firefox est toujours en version 1.0.2. Et je n'ai pas envie de le compiler moi même.
Donc, en gros, j'utilise une version de Firefox vérolée depuis environ une semaine déja. En même temps, je ne risque pas grand chose vu que je suis 1. sous powerpc et que tout le monde s'en fout du powerpc. 2. sous Linux, avec un script shell on pourrait massacrer quelques trucs, mais bon rien de trés interressant (enfin, on pourrait quand même me supprimer tous mes fichiers perso en 2 temps 3 mouvements).
Florent
Cedric Blancher
Le Wed, 27 Apr 2005 11:11:09 +0000, Florent Clairambault a écrit :
Exemple : Sous ma Debian / Testing sur mon powerpc (je ne sais pas si c'est le cas sur les versions x86 mais je pense),
Ça ne veut absolument rien dire, en particulier avec Debian qui applique des backports pour les patches de sécurité. Ce qui veut dire que tu peux avoir un Apache à jour au niveau sécurité (cf. 1.3.26 sur la stable), mais pas en dernière version (1.3.33 à l'heure actuelle).
Ceci dit, ce bug n'est effectivement pas patché chez Debian. Mais cet état est du fait de Debian, pas de Mozilla...
--
T'as quelque chose contre les ptits daemons? Oui, ils apparaissent trop souvent sur mes tshirts :)
Non, tu confonds avec les mites.
-+- MV in Guide du Fmblien Assassin : mite fondateur du linuxien. -+-
Le Wed, 27 Apr 2005 11:11:09 +0000, Florent Clairambault a écrit :
Exemple : Sous ma Debian / Testing sur mon powerpc (je ne sais pas si c'est
le cas sur les versions x86 mais je pense),
Ça ne veut absolument rien dire, en particulier avec Debian qui applique
des backports pour les patches de sécurité. Ce qui veut dire que tu peux
avoir un Apache à jour au niveau sécurité (cf. 1.3.26 sur la stable),
mais pas en dernière version (1.3.33 à l'heure actuelle).
Ceci dit, ce bug n'est effectivement pas patché chez Debian. Mais cet
état est du fait de Debian, pas de Mozilla...
--
T'as quelque chose contre les ptits daemons?
Oui, ils apparaissent trop souvent sur mes tshirts :)
Non, tu confonds avec les mites.
-+- MV in Guide du Fmblien Assassin : mite fondateur du linuxien. -+-
Ça ne veut absolument rien dire, en particulier avec Debian qui applique des backports pour les patches de sécurité. Ce qui veut dire que tu peux avoir un Apache à jour au niveau sécurité (cf. 1.3.26 sur la stable), mais pas en dernière version (1.3.33 à l'heure actuelle).
Ceci dit, ce bug n'est effectivement pas patché chez Debian. Mais cet état est du fait de Debian, pas de Mozilla...
--
T'as quelque chose contre les ptits daemons? Oui, ils apparaissent trop souvent sur mes tshirts :)
Non, tu confonds avec les mites.
-+- MV in Guide du Fmblien Assassin : mite fondateur du linuxien. -+-
Nicob
On Mon, 18 Apr 2005 15:05:35 +0000, Patrice wrote:
La fondation Mozilla a annoncé, ce week-end, la disponibilité des versions 1.0.3 de Firefox et 1.7.7 de Mozilla Suite. Ces nouvelles versions corrigent neuf failles de sécurité, dont trois sont qualifiées de "Critiques".
Lu à propos de la faille des images GIF qui affecte les dernières versions de *Mozilla* (et non pas *FireFox*) :
===================================================================== Le Cert-IST rappelle que cette faille a déjà été décelée dans le navigateur Firefox en mars dernier. Elle a aussitôt été corrigée par la Mozilla Foundation qui gère le développement de ce navigateur.
AOL opte quant à lui pour une autre solution. «Nous encourageons les utilisateurs a passer à Netscape 8.0, qui est actuellement en version bêta, mais sera bientôt en version finale et qui ne sera alors plus affectée par cette vulnérabilité», nous a indiqué un porte-parole. ===================================================================== Merci AOL :-(
Nicob
On Mon, 18 Apr 2005 15:05:35 +0000, Patrice wrote:
La fondation Mozilla a annoncé, ce week-end, la disponibilité des
versions 1.0.3 de Firefox et 1.7.7 de Mozilla Suite. Ces nouvelles
versions corrigent neuf failles de sécurité, dont trois sont
qualifiées de "Critiques".
Lu à propos de la faille des images GIF qui affecte les dernières
versions de *Mozilla* (et non pas *FireFox*) :
===================================================================== Le Cert-IST rappelle que cette faille a déjà été décelée dans le
navigateur Firefox en mars dernier. Elle a aussitôt été corrigée par
la Mozilla Foundation qui gère le développement de ce navigateur.
AOL opte quant à lui pour une autre solution. «Nous encourageons les
utilisateurs a passer à Netscape 8.0, qui est actuellement en version
bêta, mais sera bientôt en version finale et qui ne sera alors plus
affectée par cette vulnérabilité», nous a indiqué un porte-parole.
=====================================================================
Merci AOL :-(
On Mon, 18 Apr 2005 15:05:35 +0000, Patrice wrote:
La fondation Mozilla a annoncé, ce week-end, la disponibilité des versions 1.0.3 de Firefox et 1.7.7 de Mozilla Suite. Ces nouvelles versions corrigent neuf failles de sécurité, dont trois sont qualifiées de "Critiques".
Lu à propos de la faille des images GIF qui affecte les dernières versions de *Mozilla* (et non pas *FireFox*) :
===================================================================== Le Cert-IST rappelle que cette faille a déjà été décelée dans le navigateur Firefox en mars dernier. Elle a aussitôt été corrigée par la Mozilla Foundation qui gère le développement de ce navigateur.
AOL opte quant à lui pour une autre solution. «Nous encourageons les utilisateurs a passer à Netscape 8.0, qui est actuellement en version bêta, mais sera bientôt en version finale et qui ne sera alors plus affectée par cette vulnérabilité», nous a indiqué un porte-parole. ===================================================================== Merci AOL :-(
