Le correctif implique la désactivation du shell : manipulateur de protocole, qui a été découvert comme permettant aux pages de lancer des exécutables sur Windows par l'intermédiaire d'un lien.
Un XPI (Cross Platform Installer) est disponible pour désactiver cette fonctionnalité et il est également possible de se protéger en positionnant la valeur de l'option de configuration network.protocol-handler.external.shell à false. Mozilla 1.7.1 est ici :
http://ftp.mozilla.org/pub/mozilla.org/mozilla/releases/mozilla1.7.1/mozilla-win32-1.7.1-installer.exe
Firefox 0.9.2 est ici :
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.9.2/FirefoxSetup-0.9.2.exe
Thunderbird 0.7.2 est ici :
http://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/0.7.2/ThunderbirdSetup-0.7.2.exe
De plus Laurent Jouanneau et Pascal Chevrel traitent de la réactivité de la Mozilla Foundation et de la communauté sur leur blog respectif.
Aller plus loin
- Mozillazine : Mozilla 1.7.1, Mozilla Firefox 0.9.2 et Mozilla Thunderbird 0.7.2 sont sortis (1 clic)
- Mozillazine : Firefox 0.9.2, Thunderbird 0.7.2 et Mozilla 1.7.1 arrivent bientôt (1 clic)
- Journal DLFP : Correction d'un problème de sécurité sous mozilla firefox et thunderbird (1 clic)
- Mise à jour : XPI : ShellBlock 1.0 (1 clic)
- Note sur la faille (1 clic)
# Question béte ?
Posté par Beretta_Vexee . Évalué à 10.
[^] # Re: Question béte ?
Posté par MsK` . Évalué à 6.
[^] # Re: Question béte ?
Posté par RuleZ . Évalué à 8.
D'autant plus que ce n'est pas un bug windows, mais une faille d'un LL implémenté sur windows, nuance ...
[^] # Re: Question béte ?
Posté par mcjo . Évalué à -1.
[^] # Re: Question béte ?
Posté par pasBill pasGates . Évalué à -2.
[^] # Re: Question béte ?
Posté par mcjo . Évalué à -7.
[^] # Re: Question béte ?
Posté par mcjo . Évalué à 5.
http://www.reseaux-telecoms.com/alerte_btree/04_07_09_102835_934/CS(...)
[^] # Re: Question béte ?
Posté par yoconono . Évalué à -3.
On a affaire à des kadors de la programmation ou plutot de l'optimisatiion par omission de test de validité :p
[^] # Re: Question béte ?
Posté par pasBill pasGates . Évalué à 4.
[^] # Re: Question béte ?
Posté par yoconono . Évalué à 0.
http://www.reseaux-telecoms.com/alerte_btree/04_07_09_102835_934/CS(...)
on voit une critique de mozilla ^^ ?!?
[^] # Re: Question béte ?
Posté par pasBill pasGates . Évalué à 7.
OS: Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Software: Mozilla 0.x
Mozilla 1.0
Mozilla 1.1
Mozilla 1.2
Mozilla 1.3
Mozilla 1.4
Mozilla 1.5
Mozilla 1.6
Mozilla Firefox 0.x
Mozilla Thunderbird 0.x
[^] # Re: Question béte ?
Posté par mcjo . Évalué à 0.
http://www.k-otik.com/news/07112004.Mozilla.php(...)
[^] # Re: Question béte ?
Posté par mcjo . Évalué à 1.
" Pour la petite histoire, ce comportement était censé être corrigé par le Service Pack 1 de Windows XP... mais ce dernier ne s'est occupé en réalité que d'Internet Explorer !"
Bou c'est pas beau de mentir...
http://www.k-otik.com/news/07112004.Mozilla.php(...)
[^] # Re: Question béte ?
Posté par yoconono . Évalué à 1.
Mais bon j'ai l 'impression que ca va tourner en rond donc marre.
[^] # Re: Question béte ?
Posté par Bière Drabo . Évalué à 4.
Rien, on t'avais pas vu depuis longtemps, c'était un test. :)
[^] # Re: Question béte ?
Posté par MsK` . Évalué à 0.
[^] # Re: Question béte ?
Posté par spart . Évalué à 3.
> LinuxFR ne devait parler que de linux
LinuxFr n'a jamais parlé que de Linux,
mais la logique la plus élémentaire lui faisait jusqu'ici reléguer les sujets qui ne concernent absolument pas GNU/Linux en _deuxième page_.
Est-ce qu'un renommage en logicielslibres.fr est à l'étude ou quoi ?
[^] # Re: Question béte ?
Posté par Serge Rossi (site web personnel) . Évalué à 5.
Il y'a quelque chose de pourri au royaume de LinuxFr :'(
[^] # Re: Question béte ?
Posté par Dalton joe . Évalué à 7.
[^] # Re: Question béte ?
Posté par Erwan . Évalué à 1.
[^] # Re: Question béte ?
Posté par Colin Leroy (site web personnel) . Évalué à 4.
[^] # Re: Question béte ?
Posté par Yeah . Évalué à 3.
Pour être sûr d'avoir compris, en français ça donne :
Pourquoi l'annonce de la version 0.9.1 de Firefox et 0.7.1 de Thunderbird qui corrigeaient des bugs récurrents sous tous les systèmes ont-ils fait une semaine de purgatoire pour finir en nouvelle de deuxième page alors qu'une alerte de securité windows et une mise à jour mineure ( 1 bug contre 5 au moins pour les 0.x.1 ) font la première page ?
C'est bien ça ?
[^] # Re: Question béte ?
Posté par ceituna (site web personnel) . Évalué à 0.
Mais you shall pas dénigrer little scarabé, car il a lui-meme le dialogue "In". C'est because cela qu'il own da Wo41d. Vois-tu, c'est comme le poulpe... Quand il a soif, il boit.
Jean-Claude.
PS : Il n'y a rien de méchant dans ce commentaire... Je voulais juste "dédramatiser" le commentaire, car c'est vrai que Beretta_Vexée se trouve toujours avec un commentaire lié à son orthographe dans ses "fils de discutions".
# Faille Mozilla ? Ou windows ?
Posté par Yann Cochard (site web personnel) . Évalué à 10.
Ce n'est pas vraiment une faille de Mozilla.
Ce qui se passe, c'est que certains liens utilisent des handlers autres que "http:", "ftp:", etc. Quand le navigateur ne sait pas quoi en faire, il est cense le passer au systeme d'exploitation, qui lui repond ok ou bien je ne sais pas.
Dans notre cas, il s'agit de "shell:", qui est connu de windows. Il s'agit d'executer arbitrairement tout code qui lui est passe par ce biais. C'est pour ca que cette faille n'affecte que window XP/2K, et pas les autres systemes d'exploitation ou tourne Mozilla.
La question est de savoir s'il faut bloquer tout ces handlers non connus, ou bien s'il faut faire confiance au systeme sous-jacent.
Conclusion : c'est plutot un probleme windows que Mozilla.
L'equipe de Mozilla discutait depuis 2 ans pour savoir s'il fallait ou pas empecher ce genre de comportements, mais a partir du moment ou un exploit a ete publie, en 24h ils ont sorti le patch.
Yann
[^] # Re: Faille Mozilla ? Ou windows ?
Posté par pasBill pasGates . Évalué à 10.
Justement _non_, le navigateur n'est pas sense passer tout et n'importe quoi, il est sense interdire l'acces au systeme par une page web, et la il ne le fait pas.
[^] # Re: Faille Mozilla ? Ou windows ?
Posté par Colin Leroy (site web personnel) . Évalué à 10.
J'ai lu dans un journal du même sujet, que IE passe aussi les "shell:", et tu as dit qu'un correctif était en cours; sais-tu si IE va passer à une whitelist aussi?
[^] # Re: Faille Mozilla ? Ou windows ?
Posté par pasBill pasGates . Évalué à 6.
Le fix fait partie d'un certain nombre de changements de securite qui vont atterir dans IE dans le prochain patch de ce que j'ai compris(mais j'ai peut-etre mal compris, c'est passe 30s sous mes yeux avant que je l'efface).
# Windows uniquement !
Posté par Anonyme . Évalué à 6.
# changelog Mozilla 1.7.1?
Posté par David . Évalué à 2.
- Mozilla 1.7 auquel on a rajouté un patch
ou
- une extraction de la branch 1.7 (basée sur Mozilla 1.7), à laquelle on a rajouté un patch?
Existe-t-il un vrai changelog pour Mozilla 1.7.1?
Merci!
David.
[^] # Re: changelog Mozilla 1.7.1?
Posté par plagiats . Évalué à 6.
[X] Mozilla 1.7 auquel on a rajouté un patch
# mes 2 cents d'oran outan (homme des arbres )
Posté par jo7 . Évalué à 0.
+ sur clubic, sur un conseil donné sur linuxfr, firefox 7.2 est en français, en désinstallant, supprimant le dossier et en remplaçant par la nouvelle version, j'ai gardé à peu prés tout extension thème etc, seuls les moteurs de mycroft ont disparus
+ au passage je signale une extension EUrekster : c'est un moteur qui se souvient de ce que vous avez apprécié , et ce que vos amis ont apprécié, lors des dernières recherches, c'est un fonctionnement qui rappelle un peu stumble upon, mais appliqué à une recherche, pas "au hasard" ; cette extension est particulièrement bien faite puisqu'elle se comporte exactement comme les autres toolbars // googlebar est controlée uniquement par ctrl+F8 et stumble ctrl+F9)
THunderFOX heu bird,
+ ben il ne démarre plus qu'en "safe mode" (choix dans le groupe du menu démarrer ( "thunderbird.exe -safe-mode" si quelqu'un en a besoin ),
+ autrement ça baigne presque, les extensions ne s'installent toujours pas simplement, plus du tout d'ailleurs,
+ on s'y retrouve difficilement dans les préfèrences, notament pour choisir l'emplacement des courriers c'est par le profile manager ...
--> Je reprend mon vieux calypso (pas libre mème pas vraiment freeware, mais j'ai pas de chance à chaque fois que j'ai testé autre chose je suis revenu dessus ) (sous windows)
(http://www.gratilog.net/internet1.htm,(...) chercher calypso )
Mozilla 1.7, ... il y a l'éditeur ... mais je surfe pas avec alors pas besoin de mettre à jour
# Mozilla n'est pas le seul produit vulnérable à ce type d'attaque
Posté par Jean-Christophe Berthon (site web personnel) . Évalué à 6.
Aujourd'hui Secunia a découvert le même type de faille dans 2 autres produits, il s'agit de Word 2002 et MSN Messenger 6.X de Microsoft.
Cela pourrait également, à mon avis, toucher d'autres produits d'autres compagnies, il faudra se méfier jusqu'à l'on en sache plus.
Voici l'information sur le site de Secunia (attention c'est en anglais pour les anglo-phobes s'abstenir) : http://secunia.com/advisories/12042/(...)
--
Jean-Christophe
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.