Articles précédents : Sécurité
- [2] phpSecure aux Rencontres Mondiales du Logiciel Libre
- [102] Le gouvernement américain déconseille IE
- [2] Retranscription vidéo/audio Pierre Betouin (Challenge Securitech)
- [12] Tutorial : installation automatisée Apache/Mod_security
- [54] Premier patch 'NX' pour le noyau Linux
- [22] Conférence Challenge Securitech 2004
- [20] Testez votre vulnérabilité à la faille "TCP spoofed Connexion"
- [31] Alerte de sécurité dans le noyau Linux
- [20] Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
- [19] Sortie du noyau 2.2.26
Liens connexes
- Mozillazine : Mozilla 1.7.1, Mozilla Firefox 0.9.2 et Mozilla Thunderbird 0.7.2 sont sortis (1966 hits)
- Mozillazine : Firefox 0.9.2, Thunderbird 0.7.2 et Mozilla 1.7.1 arrivent bientôt (758 hits)
- Journal DLFP : Correction d'un problème de sécurité sous mozilla firefox et thunderbird (970 hits)
- Mise à jour : XPI : ShellBlock 1.0 (1124 hits)
- Note sur la faille (1489 hits)
Dépêche modérée par
Sécurité : Correction d'une faille importante dans Mozilla, Firefox et Thunderbird
Posté par tuiu pol (Jabber id, ). Modéré le 09 juillet 2004.
Le correctif implique la désactivation du shell : manipulateur de protocole, qui a été découvert comme permettant aux pages de lancer des exécutables sur Windows par l'intermédiaire d'un lien.
Un XPI (Cross Platform Installer) est disponible pour désactiver cette fonctionnalité et il est également possible de se protéger en positionnant la valeur de l'option de configuration network.protocol-handler.external.shell à false.
![[fr]](../../../images/fr.png)
Mozillazine : Mozilla 1.7.1, Mozilla Firefox 0.9.2 et Mozilla Thunderbird 0.7.2 sont sortis (1966 hits)-
Mozillazine : Firefox 0.9.2, Thunderbird 0.7.2 et Mozilla 1.7.1 arrivent bientôt (758 hits)
-
Journal DLFP : Correction d'un problème de sécurité sous mozilla firefox et thunderbird (970 hits)
![[en]](../../../images/en.png)
Mise à jour : XPI : ShellBlock 1.0 (1124 hits)-
Note sur la faille (1489 hits)
> Lire la suite (32 commentaires, moyenne: 4,1). [dépêche : 1009 caractères]
http://ftp.mozilla.org/pub/mozilla.org/mozilla/releases/mozilla1.7.1/mozilla-win32-1.7.1-installer.exe
Firefox 0.9.2 est ici :
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.9.2/FirefoxSetup-0.9.2.exe
Thunderbird 0.7.2 est ici :
http://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/0.7.2/ThunderbirdSetup-0.7.2.exe
De plus Laurent Jouanneau et Pascal Chevrel traitent de la réactivité de la Mozilla Foundation et de la communauté sur leur blog respectif.
Question béte ?
Pourquoi l'annonce de la version 0.9.1 de Firefox et 0.7.1 de Thunderbird ont fait une semaine de purgatoir pour finir en nouvelle de deuxiéme page alors que ces versions corrigés des bugs recurrent sous tous les systemes alors qu'une alerte de securité windows et une mise a jour mineur ( 1 bug contre 5 a moin pour les 0.x.1 ) font la premiére page ?
Il relève de la responsabilité du lecteur de contrôler, par tous moyens, l'adéquation du message à ses besoins et de s'assurer qu'il ne causera pas de dommages aux personnes et aux biens.
-
[^]Re: Question béte ?
Posté par MsK` () le 09/07/2004 à 22:22. (lien). Évalué à 6.Me pose la question aussi parce que franchement un bug windows en première page de linuxfr.org ca fait bisarre
--
\_o<~~~~-
[^]Re: Question béte ?
Posté par RuleZ () le 09/07/2004 à 22:50. (lien). Évalué à 8.Parce que ce sont des logiciels libres, et qu'il me semble que si LinuxFR ne devait parler que de linux plutot que de l'actualité de ce qui concerne les LL en générale, alors *énormément* de dépêches disparaitraient avec celle ci...
D'autant plus que ce n'est pas un bug windows, mais une faille d'un LL implémenté sur windows, nuance ...-
[+] [^]Re: Question béte ?
Posté par mcjo () le 09/07/2004 à 23:08. (lien). Évalué à -1.Ce qui est domage c'est que windows perciste a gérer ls fichier en fonction des extentions et non des entêtes...
-
[+] [^]Re: Question béte ?
-
[^]Re: Question béte ?
Posté par mcjo () le 10/07/2004 à 00:03. (lien). Évalué à 5.PAr contre c'est vrai ca ou pas parceque si c'est vrai retoure au travail.
http://www.reseaux-telecoms.com/alerte_btree/04_07_09_102835_934/CS(...)-
[+] [^]Re: Question béte ?
Posté par yoconono () le 10/07/2004 à 06:01. (lien). Évalué à -3.sisi c'est vrai et je trouve ca terrible de chez terrible :)
On a affaire à des kadors de la programmation ou plutot de l'optimisatiion par omission de test de validité :p-
[^]Re: Question béte ?
Posté par pasBill pasGates () le 10/07/2004 à 06:13. (lien). Évalué à 4.C'est pas sympa pour les devs de Mozilla ce que tu dis la
-
[^]Re: Question béte ?
Posté par yoconono () le 10/07/2004 à 15:53. (lien). Évalué à 0.Ah ? quand on clique là :
http://www.reseaux-telecoms.com/alerte_btree/04_07_09_102835_934/CS(...)
on voit une critique de mozilla ^^ ?!?-
[^]Re: Question béte ?
Posté par pasBill pasGates () le 11/07/2004 à 00:51. (lien). Évalué à 7.Si tu suis les liens et tu vas sur l'alerte de Secunia, tu vois : http://secunia.com/advisories/12027/(...)
OS: Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Software: Mozilla 0.x
Mozilla 1.0
Mozilla 1.1
Mozilla 1.2
Mozilla 1.3
Mozilla 1.4
Mozilla 1.5
Mozilla 1.6
Mozilla Firefox 0.x
Mozilla Thunderbird 0.x-
[^]Re: Question béte ?
Posté par mcjo () le 12/07/2004 à 09:39. (lien). Évalué à 0.retourne bosser
http://www.k-otik.com/news/07112004.Mozilla.php(...)
-
[^]Re: Question béte ?
Posté par mcjo () le 13/07/2004 à 08:19. (lien). Évalué à 1.Et bien mr n'aime pas la critique surtout quand on apprend qu'une faille de mozilla est du en grosse partie au fait que la team de mozilla avait fait cru que microsoft faisait ce qu'il disait :
" Pour la petite histoire, ce comportement était censé être corrigé par le Service Pack 1 de Windows XP... mais ce dernier ne s'est occupé en réalité que d'Internet Explorer !"
Bou c'est pas beau de mentir...
http://www.k-otik.com/news/07112004.Mozilla.php(...)
-
[^]Re: Question béte ?
Posté par yoconono () le 13/07/2004 à 15:44. (lien). Évalué à 1.mouais enfin pour moi les gars de mozz ils ont (presque) bien fait leur taff puisque c'est juste une option de configuration à désactiver. C'est plus un choix politique qu'autre chose.
Mais bon j'ai l 'impression que ca va tourner en rond donc marre.
-
-
-
-
-
-
[^]Re: Question béte ?
Posté par Bière Drabo () le 10/07/2004 à 01:34. (lien). Évalué à 4.> Quel rapport ?
Rien, on t'avais pas vu depuis longtemps, c'était un test. :)
-
-
-
[^]Re: Question béte ?
-
[^]Re: Question béte ?
Posté par spart (page perso, ) le 12/07/2004 à 11:41. (lien). Évalué à 3.> Parce que ce sont des logiciels libres, et qu'il me semble que si
> LinuxFR ne devait parler que de linux
LinuxFr n'a jamais parlé que de Linux,
mais la logique la plus élémentaire lui faisait jusqu'ici reléguer les sujets qui ne concernent absolument pas GNU/Linux en _deuxième page_.
Est-ce qu'un renommage en logicielslibres.fr est à l'étude ou quoi ?
-
-
-
[^]Re: Question béte ?
Posté par Serge Rossi (page perso, ) le 09/07/2004 à 23:41. (lien). Évalué à 5.Il n'y a même pas eu d'annonce sur LinuxFr pour la sortie du noyau 2.6.7 (du noyau Linux, je précise au cas ou quelqu'un confondrait avec un logiciel Windows... Vous savez, Linux, l'OS libre développé par un étudiant Finlandais il y'a bien longtemps ?) et on a droit à des annonces de failles de softs sous Windows >:-(
Il y'a quelque chose de pourri au royaume de LinuxFr :'(-
[^]Re: Question béte ?
Posté par Dalton joe (page perso, ) le 10/07/2004 à 00:54. (lien). Évalué à 7.Tout le monde n'utilise pas le Noyo Linux, ils sont tous deja sous HURD.
-
[^]Re: Question béte ?
Posté par Erwan (page perso, ) le 10/07/2004 à 07:01. (lien). Évalué à 1.Et ceux-la, ils ont droit a des annonces de bugs Linux en premiere page de hurdfr.org ?
-
-
[^]Re: Question béte ?
Posté par Colin Leroy (page perso, ) le 12/07/2004 à 13:29. (lien). Évalué à 4.Après avoir fait celles du 2.6.5 et 2.6.6, je n'ai pas eu le courage de faire la 2.6.7... Faut croire que personne d'autre ne l'a trouvé.
-
-
[^]Re: Question béte ?
Posté par Yeah () le 12/07/2004 à 14:22. (lien). Évalué à 3.Je viens de mettre 5 minutes à comprendre un post actuellement évalué à 15, je dois avoir des problèmes.
Pour être sûr d'avoir compris, en français ça donne :
Pourquoi l'annonce de la version 0.9.1 de Firefox et 0.7.1 de Thunderbird qui corrigeaient des bugs récurrents sous tous les systèmes ont-ils fait une semaine de purgatoire pour finir en nouvelle de deuxième page alors qu'une alerte de securité windows et une mise à jour mineure ( 1 bug contre 5 au moins pour les 0.x.1 ) font la première page ?
C'est bien ça ?-
[^]Re: Question béte ?
Posté par ceituna (page perso, ) le 12/07/2004 à 14:35. (lien). Évalué à 0.Oh Yeah !
Mais you shall pas dénigrer little scarabé, car il a lui-meme le dialogue "In". C'est because cela qu'il own da Wo41d. Vois-tu, c'est comme le poulpe... Quand il a soif, il boit.
Jean-Claude.
PS : Il n'y a rien de méchant dans ce commentaire... Je voulais juste "dédramatiser" le commentaire, car c'est vrai que Beretta_Vexée se trouve toujours avec un commentaire lié à son orthographe dans ses "fils de discutions".
-
Faille Mozilla ? Ou windows ?
Salut,
Ce n'est pas vraiment une faille de Mozilla.
Ce qui se passe, c'est que certains liens utilisent des handlers autres que "http:", "ftp:", etc. Quand le navigateur ne sait pas quoi en faire, il est cense le passer au systeme d'exploitation, qui lui repond ok ou bien je ne sais pas.
Dans notre cas, il s'agit de "shell:", qui est connu de windows. Il s'agit d'executer arbitrairement tout code qui lui est passe par ce biais. C'est pour ca que cette faille n'affecte que window XP/2K, et pas les autres systemes d'exploitation ou tourne Mozilla.
La question est de savoir s'il faut bloquer tout ces handlers non connus, ou bien s'il faut faire confiance au systeme sous-jacent.
Conclusion : c'est plutot un probleme windows que Mozilla.
L'equipe de Mozilla discutait depuis 2 ans pour savoir s'il fallait ou pas empecher ce genre de comportements, mais a partir du moment ou un exploit a ete publie, en 24h ils ont sorti le patch.
Yann
-
[^]Re: Faille Mozilla ? Ou windows ?
Posté par pasBill pasGates () le 10/07/2004 à 07:44. (lien). Évalué à 11.Ce qui se passe, c'est que certains liens utilisent des handlers autres que "http:", "ftp:", etc. Quand le navigateur ne sait pas quoi en faire, il est cense le passer au systeme d'exploitation, qui lui repond ok ou bien je ne sais pas.
Justement _non_, le navigateur n'est pas sense passer tout et n'importe quoi, il est sense interdire l'acces au systeme par une page web, et la il ne le fait pas.-
[^]Re: Faille Mozilla ? Ou windows ?
Posté par Colin Leroy (page perso, ) le 10/07/2004 à 09:17. (lien). Évalué à 13.En effet, c'était idiot de leur part... Mozilla a un système pour blacklister les handlers dangereux. Comme tous ceux qui bossent dans le domaine de la sécurité le savent, on ne blackliste pas les trucs dangereux un par un: on interdit tout d'abord, et on whiteliste après - comme pour un firewall. C'est ce qu'ils comptent faire pour mozilla maintenant.
J'ai lu dans un journal du même sujet, que IE passe aussi les "shell:", et tu as dit qu'un correctif était en cours; sais-tu si IE va passer à une whitelist aussi?-
[^]Re: Faille Mozilla ? Ou windows ?
Posté par pasBill pasGates () le 10/07/2004 à 09:40. (lien). Évalué à 6.Je ne sais pas ce qu'IE va faire, j'ai vu le mail du security report mais j'ai pas cherche plus loin.
Le fix fait partie d'un certain nombre de changements de securite qui vont atterir dans IE dans le prochain patch de ce que j'ai compris(mais j'ai peut-etre mal compris, c'est passe 30s sous mes yeux avant que je l'efface).
-
-
Windows uniquement !
Ca ne concerne que Windows, il serait bien de le preciser dans la depeche.
changelog Mozilla 1.7.1?
est-ce que Mozilla 1.7.1 est :
- Mozilla 1.7 auquel on a rajouté un patch
ou
- une extraction de la branch 1.7 (basée sur Mozilla 1.7), à laquelle on a rajouté un patch?
Existe-t-il un vrai changelog pour Mozilla 1.7.1?
Merci!
David.
-
[^]Re: changelog Mozilla 1.7.1?
mes 2 cents d'oran outan (homme des arbres )
FIrefox
+ sur clubic, sur un conseil donné sur linuxfr, firefox 7.2 est en français, en désinstallant, supprimant le dossier et en remplaçant par la nouvelle version, j'ai gardé à peu prés tout extension thème etc, seuls les moteurs de mycroft ont disparus
+ au passage je signale une extension EUrekster : c'est un moteur qui se souvient de ce que vous avez apprécié , et ce que vos amis ont apprécié, lors des dernières recherches, c'est un fonctionnement qui rappelle un peu stumble upon, mais appliqué à une recherche, pas "au hasard" ; cette extension est particulièrement bien faite puisqu'elle se comporte exactement comme les autres toolbars // googlebar est controlée uniquement par ctrl+F8 et stumble ctrl+F9)
THunderFOX heu bird,
+ ben il ne démarre plus qu'en "safe mode" (choix dans le groupe du menu démarrer ( "thunderbird.exe -safe-mode" si quelqu'un en a besoin ),
+ autrement ça baigne presque, les extensions ne s'installent toujours pas simplement, plus du tout d'ailleurs,
+ on s'y retrouve difficilement dans les préfèrences, notament pour choisir l'emplacement des courriers c'est par le profile manager ...
--> Je reprend mon vieux calypso (pas libre mème pas vraiment freeware, mais j'ai pas de chance à chaque fois que j'ai testé autre chose je suis revenu dessus ) (sous windows)
(http://www.gratilog.net/internet1.htm,(...) chercher calypso )
Mozilla 1.7, ... il y a l'éditeur ... mais je surfe pas avec alors pas besoin de mettre à jour
Mozilla n'est pas le seul produit vulnérable à ce type d'attaque
Bonjour,
Aujourd'hui Secunia a découvert le même type de faille dans 2 autres produits, il s'agit de Word 2002 et MSN Messenger 6.X de Microsoft.
Cela pourrait également, à mon avis, toucher d'autres produits d'autres compagnies, il faudra se méfier jusqu'à l'on en sache plus.
Voici l'information sur le site de Secunia (attention c'est en anglais pour les anglo-phobes s'abstenir) : http://secunia.com/advisories/12042/(...)
--
Jean-Christophe
Cette page a été générée par Templeet en 0.1444s (dont 0.0147 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.