Correction d'une faille importante dans Mozilla, Firefox et Thunderbird

Posté par  . Modéré par Nÿco.
Étiquettes :
0
10
juil.
2004
Mozilla
La fondation Mozilla vient juste de sortir un trio de nouvelles versions de Mozilla pour la correction de la vulnérabilité de sécurité du Windows shell. Ces versions n'apportent donc rien d'autre que le correctif.

Le correctif implique la désactivation du shell : manipulateur de protocole, qui a été découvert comme permettant aux pages de lancer des exécutables sur Windows par l'intermédiaire d'un lien.

Un XPI (Cross Platform Installer) est disponible pour désactiver cette fonctionnalité et il est également possible de se protéger en positionnant la valeur de l'option de configuration network.protocol-handler.external.shell à false. Mozilla 1.7.1 est ici :
http://ftp.mozilla.org/pub/mozilla.org/mozilla/releases/mozilla1.7.1/mozilla-win32-1.7.1-installer.exe
Firefox 0.9.2 est ici :
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.9.2/FirefoxSetup-0.9.2.exe
Thunderbird 0.7.2 est ici :
http://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/0.7.2/ThunderbirdSetup-0.7.2.exe

De plus Laurent Jouanneau et Pascal Chevrel traitent de la réactivité de la Mozilla Foundation et de la communauté sur leur blog respectif.

Aller plus loin

  • # Question béte ?

    Posté par  . Évalué à 10.

    Pourquoi l'annonce de la version 0.9.1 de Firefox et 0.7.1 de Thunderbird ont fait une semaine de purgatoir pour finir en nouvelle de deuxiéme page alors que ces versions corrigés des bugs recurrent sous tous les systemes alors qu'une alerte de securité windows et une mise a jour mineur ( 1 bug contre 5 a moin pour les 0.x.1 ) font la premiére page ?
    • [^] # Re: Question béte ?

      Posté par  . Évalué à 6.

      Me pose la question aussi parce que franchement un bug windows en première page de linuxfr.org ca fait bisarre
      • [^] # Re: Question béte ?

        Posté par  . Évalué à 8.

        Parce que ce sont des logiciels libres, et qu'il me semble que si LinuxFR ne devait parler que de linux plutot que de l'actualité de ce qui concerne les LL en générale, alors *énormément* de dépêches disparaitraient avec celle ci...
        D'autant plus que ce n'est pas un bug windows, mais une faille d'un LL implémenté sur windows, nuance ...
    • [^] # Re: Question béte ?

      Posté par  (site web personnel) . Évalué à 5.

      Il n'y a même pas eu d'annonce sur LinuxFr pour la sortie du noyau 2.6.7 (du noyau Linux, je précise au cas ou quelqu'un confondrait avec un logiciel Windows... Vous savez, Linux, l'OS libre développé par un étudiant Finlandais il y'a bien longtemps ?) et on a droit à des annonces de failles de softs sous Windows >:-(

      Il y'a quelque chose de pourri au royaume de LinuxFr :'(
      • [^] # Re: Question béte ?

        Posté par  . Évalué à 7.

        Tout le monde n'utilise pas le Noyo Linux, ils sont tous deja sous HURD.
        • [^] # Re: Question béte ?

          Posté par  . Évalué à 1.

          Et ceux-la, ils ont droit a des annonces de bugs Linux en premiere page de hurdfr.org ?
      • [^] # Re: Question béte ?

        Posté par  (site web personnel) . Évalué à 4.

        Après avoir fait celles du 2.6.5 et 2.6.6, je n'ai pas eu le courage de faire la 2.6.7... Faut croire que personne d'autre ne l'a trouvé.
    • [^] # Re: Question béte ?

      Posté par  . Évalué à 3.

      Je viens de mettre 5 minutes à comprendre un post actuellement évalué à 15, je dois avoir des problèmes.
      Pour être sûr d'avoir compris, en français ça donne :

      Pourquoi l'annonce de la version 0.9.1 de Firefox et 0.7.1 de Thunderbird qui corrigeaient des bugs récurrents sous tous les systèmes ont-ils fait une semaine de purgatoire pour finir en nouvelle de deuxième page alors qu'une alerte de securité windows et une mise à jour mineure ( 1 bug contre 5 au moins pour les 0.x.1 ) font la première page ?

      C'est bien ça ?
      • [^] # Re: Question béte ?

        Posté par  (site web personnel) . Évalué à 0.

        Oh Yeah !

        Mais you shall pas dénigrer little scarabé, car il a lui-meme le dialogue "In". C'est because cela qu'il own da Wo41d. Vois-tu, c'est comme le poulpe... Quand il a soif, il boit.

        Jean-Claude.

        PS : Il n'y a rien de méchant dans ce commentaire... Je voulais juste "dédramatiser" le commentaire, car c'est vrai que Beretta_Vexée se trouve toujours avec un commentaire lié à son orthographe dans ses "fils de discutions".
  • # Faille Mozilla ? Ou windows ?

    Posté par  (site web personnel) . Évalué à 10.

    Salut,

    Ce n'est pas vraiment une faille de Mozilla.
    Ce qui se passe, c'est que certains liens utilisent des handlers autres que "http:", "ftp:", etc. Quand le navigateur ne sait pas quoi en faire, il est cense le passer au systeme d'exploitation, qui lui repond ok ou bien je ne sais pas.
    Dans notre cas, il s'agit de "shell:", qui est connu de windows. Il s'agit d'executer arbitrairement tout code qui lui est passe par ce biais. C'est pour ca que cette faille n'affecte que window XP/2K, et pas les autres systemes d'exploitation ou tourne Mozilla.
    La question est de savoir s'il faut bloquer tout ces handlers non connus, ou bien s'il faut faire confiance au systeme sous-jacent.

    Conclusion : c'est plutot un probleme windows que Mozilla.
    L'equipe de Mozilla discutait depuis 2 ans pour savoir s'il fallait ou pas empecher ce genre de comportements, mais a partir du moment ou un exploit a ete publie, en 24h ils ont sorti le patch.

    Yann
    • [^] # Re: Faille Mozilla ? Ou windows ?

      Posté par  . Évalué à 10.

      Ce qui se passe, c'est que certains liens utilisent des handlers autres que "http:", "ftp:", etc. Quand le navigateur ne sait pas quoi en faire, il est cense le passer au systeme d'exploitation, qui lui repond ok ou bien je ne sais pas.

      Justement _non_, le navigateur n'est pas sense passer tout et n'importe quoi, il est sense interdire l'acces au systeme par une page web, et la il ne le fait pas.
      • [^] # Re: Faille Mozilla ? Ou windows ?

        Posté par  (site web personnel) . Évalué à 10.

        En effet, c'était idiot de leur part... Mozilla a un système pour blacklister les handlers dangereux. Comme tous ceux qui bossent dans le domaine de la sécurité le savent, on ne blackliste pas les trucs dangereux un par un: on interdit tout d'abord, et on whiteliste après - comme pour un firewall. C'est ce qu'ils comptent faire pour mozilla maintenant.
        J'ai lu dans un journal du même sujet, que IE passe aussi les "shell:", et tu as dit qu'un correctif était en cours; sais-tu si IE va passer à une whitelist aussi?
        • [^] # Re: Faille Mozilla ? Ou windows ?

          Posté par  . Évalué à 6.

          Je ne sais pas ce qu'IE va faire, j'ai vu le mail du security report mais j'ai pas cherche plus loin.
          Le fix fait partie d'un certain nombre de changements de securite qui vont atterir dans IE dans le prochain patch de ce que j'ai compris(mais j'ai peut-etre mal compris, c'est passe 30s sous mes yeux avant que je l'efface).
  • # Windows uniquement !

    Posté par  . Évalué à 6.

    Ca ne concerne que Windows, il serait bien de le preciser dans la depeche.
  • # changelog Mozilla 1.7.1?

    Posté par  . Évalué à 2.

    est-ce que Mozilla 1.7.1 est :
    - Mozilla 1.7 auquel on a rajouté un patch
    ou
    - une extraction de la branch 1.7 (basée sur Mozilla 1.7), à laquelle on a rajouté un patch?

    Existe-t-il un vrai changelog pour Mozilla 1.7.1?
    Merci!

    David.
  • # mes 2 cents d'oran outan (homme des arbres )

    Posté par  . Évalué à 0.

    FIrefox
    + sur clubic, sur un conseil donné sur linuxfr, firefox 7.2 est en français, en désinstallant, supprimant le dossier et en remplaçant par la nouvelle version, j'ai gardé à peu prés tout extension thème etc, seuls les moteurs de mycroft ont disparus
    + au passage je signale une extension EUrekster : c'est un moteur qui se souvient de ce que vous avez apprécié , et ce que vos amis ont apprécié, lors des dernières recherches, c'est un fonctionnement qui rappelle un peu stumble upon, mais appliqué à une recherche, pas "au hasard" ; cette extension est particulièrement bien faite puisqu'elle se comporte exactement comme les autres toolbars // googlebar est controlée uniquement par ctrl+F8 et stumble ctrl+F9)

    THunderFOX heu bird,
    + ben il ne démarre plus qu'en "safe mode" (choix dans le groupe du menu démarrer ( "thunderbird.exe -safe-mode" si quelqu'un en a besoin ),
    + autrement ça baigne presque, les extensions ne s'installent toujours pas simplement, plus du tout d'ailleurs,
    + on s'y retrouve difficilement dans les préfèrences, notament pour choisir l'emplacement des courriers c'est par le profile manager ...
    --> Je reprend mon vieux calypso (pas libre mème pas vraiment freeware, mais j'ai pas de chance à chaque fois que j'ai testé autre chose je suis revenu dessus ) (sous windows)
    (http://www.gratilog.net/internet1.htm,(...) chercher calypso )

    Mozilla 1.7, ... il y a l'éditeur ... mais je surfe pas avec alors pas besoin de mettre à jour
  • # Mozilla n'est pas le seul produit vulnérable à ce type d'attaque

    Posté par  (site web personnel) . Évalué à 6.

    Bonjour,

    Aujourd'hui Secunia a découvert le même type de faille dans 2 autres produits, il s'agit de Word 2002 et MSN Messenger 6.X de Microsoft.
    Cela pourrait également, à mon avis, toucher d'autres produits d'autres compagnies, il faudra se méfier jusqu'à l'on en sache plus.

    Voici l'information sur le site de Secunia (attention c'est en anglais pour les anglo-phobes s'abstenir) : http://secunia.com/advisories/12042/(...)

    --
    Jean-Christophe

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.