Un code malveillant permet de faire croire qu'un site possède un certificat de sécurité alors qu'il n'en a pas.
Plus grave, un attaquant peut écraser les certificats racines de l'autorité de certification.
Ces deux bugs ont été corrigés dans les sources mais il n'existe pas encore de version compilée disponible pour le public. L'équipe Mozilla ne sachant pas encore si elle doit faire une nouvelle version ou distribuer un patch. (NdM : a priori, pour ce qui est de Firefox, il n'y aura pas de nouvelle version avant la 1.0rc1 prévue pour le 10 août.)
Mise à jour : Firefox 0.9.3, Mozilla 1.7.2 et Thunderbird 0.7.3 sont sortis officiellement. (voir les problèmes de sécurité corrigés). Merci à EppO pour l'information.
Aller plus loin
- L'information sur Echu (0 clic)
- L'information sur MozillaZine (1 clic)
- Rapport de bug pour le premier (1 clic)
- Rapport de bug pour le second (1 clic)
- L'info sur News.com (1 clic)
# First Post ?
Posté par ElVirolo (site web personnel) . Évalué à -8.
A voir aussi (sur ./) la faille qui permet à un site de "spoofer" l'interface XUL de Mozilla ou de Firefox et permettre de faire croire, par exemple, que la connexion est sécurisée ...
Article sur ./ :http://it.slashdot.org/article.pl?sid=04/07/31/0037210&tid=154&(...)
Voir ceci pour un exemple de spoof de l'interface XUL (cliquer sur View the spoof that mimics the interface of Firefox versions 0.9.0 - 0.9.2):http://www.nd.edu/~jsmith30/xul/test/spoof.html(...)
[^] # Re: First Post ? t'es sûre que c'est intéressant ?
Posté par allcolor (site web personnel) . Évalué à 3.
http://linuxfr.org/2004/07/29/16929.html(...)
[^] # Re: First Post ? t'es sûre que c'est intéressant ?
Posté par ElVirolo (site web personnel) . Évalué à -9.
Enfin, je n'avais pas lu l'article :(, si je pouvais me moinsser, je le ferais :(
[^] # Re: First Post ?
Posté par ploum (site web personnel, Mastodon) . Évalué à 4.
DLFP possède *aussi* son système de news qui est *parfois* plus rapide : http://linuxfr.org/2004/07/29/16929.html(...)
Le tout est aggrémenté de forums, de journaux, d'un système de vote dees commentaires qui sert principalement à servir de trol..sujet aux journaux et aux fora, bref linuxfr c'est aussi très bien, c'est en français, mangez-en...
...
C'est vrai que je devrais peut-être aller dormir, comment avez-vous deviner ?
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: First Post ?
Posté par Brice2Nice . Évalué à 5.
linuxfr est surtout 42 fois plus joulie graphiquement et apporte une
meilleure qualité de lecture
[^] # Re: First Post ?
Posté par mansuetus (site web personnel) . Évalué à 0.
[^] # Spoofing et FUD
Posté par TazForEver . Évalué à 5.
C'est le même problème qu'un faux gestionnaire de login qui mémoriserait d'abord ton mot de passe avant d'effectivement ouvrir ta session.
Ce n'est pas une faille en soi.
[^] # Re: Spoofing et FUD
Posté par SoWhat . Évalué à 1.
[^] # Re: Spoofing et FUD
Posté par Jerome Herman . Évalué à 5.
Ca se contourne relativement facilement. Soit en bootant en mode sans echec, soit en le remplacant pendant la boot phase de windows. Personellement le nombre de truc qui se restaurent automatiquement que j'ai giclé de mes Windows XP (Messenger, Outlook, MediaPlayer pour ne citer que les plus célèbres).
Par contre l'autorestore est une fonctionnalité géniale pour les auteurs de virus... Certains spywares s'en servaient avant le SP1, je ne sais pas si c'est encore valable.
Kha
[^] # Re: Spoofing et FUD
Posté par Raphaël G. (site web personnel) . Évalué à -2.
Il suffit d'aller corrompre le fichier et son bacup en clair (non crypté ou compressé!!!) dans c:\windaube\system32\driver\cache il me semble (le path j'en suis pas sur j'ai pas été tappé dedans depuis des mois...)
Bon allez on va dire que pour une fois m$ a essayé de mettre en place une protection...
[^] # Re: Spoofing et FUD
Posté par Wawet76 . Évalué à 3.
En tout cas sur mon NT au bureau, je n'ai pas de répertoire c:\windaube\
[^] # Re: Spoofing et FUD
Posté par LupusMic (site web personnel, Mastodon) . Évalué à 2.
[^] # Re: First Post ?
Posté par opensource . Évalué à 1.
# FireFox vs IE (Ho, My god)
Posté par Fred . Évalué à 1.
[^] # Re: FireFox vs IE (Ho, My god)
Posté par governator . Évalué à 1.
Cependant, il ne faut pas oublier que cela reste une "preview technology", espérons que la 1.0 comblera tous ces problèmes.
[^] # Re: FireFox vs IE (Ho, My god)
Posté par Castor666 . Évalué à 3.
Mozilla 1.7 n'est pas une "preview technology", et comporte évidemment la même faille. Même arrivé à la version 1, on pourra aussi trouver des nouvelles failles de ce genre dans FireFox. Ce numéro de version symbolique indiquera juste que le logiciel sera assez mature en général pour une utilisation stable.
[^] # Re: FireFox vs IE (Ho, My god)
Posté par Zorro (site web personnel) . Évalué à 3.
Le Libre est une bonne méthode pour découvrir et combler rapidement les failles, c'est sûr, mais c'est pas la panacée.
[^] # Re: FireFox vs IE (Ho, My god)
Posté par GhZaaark3 . Évalué à 1.
Vu qu'il y a une réactivité quasi instantannée quant à la résolution du problème et à sa diffusion.
Sinon concernant ces failles, très peut de sites peuvent l'exploiter - non pas techniquement - mais contextuellement. Je vois mal l'intérêt: les sites d'achats en ligne qui se respectent sont facilement identifiables du fait entre autre de leurs renommés.
et puis faut relativiser, les failles Mozilla/firefox sont moins graves du moins pour les OS Libres qui sont difficiles à mettre en pièces que celles d'IE qui est une porte ouverte, limite IE vous offre le café pendant qu'il se fait cracké :)
toutefois ça ne signifie pas qu'il faille prendre ses anonces à la légère
[^] # Re: FireFox vs IE (Ho, My god)
Posté par Stéphane Salès . Évalué à 3.
Dernier avis en date (je n'ai pas retrouvé celui où ils conseillent d'utiliser autre chose que IE) : http://www.us-cert.gov/cas/techalerts/TA04-212A.html(...)
Pour en revenir à la news, je trouve quand même qu'on est très loin de ca : http://iebug.com/(...)
Ca n'excuse pas tout mais de là à dire que firefox perd en crédibilité.
[^] # Re: FireFox vs IE / avis du CERT
Posté par Eric92 . Évalué à 5.
cet avis est http://www.kb.cert.org/vuls/id/713878(...)
[^] # Re: FireFox vs IE / avis du CERT
Posté par Dalton joe . Évalué à 0.
http://www.internetnews.com/ent-news/article.php/3392061(...)
[^] # Re: FireFox vs IE (Ho, My god)
Posté par PloufPlouf (site web personnel) . Évalué à 4.
et tu traines sur dlfp ?
doit-on comprendre que tu es rentré seul...
oui bon, je sors
[^] # Re: FireFox vs IE (Ho, My god)
Posté par Fred . Évalué à -2.
# Comment ?
Posté par XHTML/CSS inside (site web personnel) . Évalué à 4.
S'ils ne veulent pas perdre en crédibilité, il vaut mieux qu'ils fassent les deux, et rapidement encore !
Bon, j'arrête de râler : --> http://www.tusors.fr.st/(...)
[^] # Re: Comment ?
Posté par Mathieu Pillard (site web personnel) . Évalué à 9.
Maintenant, ya une branche 1.7.3 et meme 1.4.3 pour mozilla avec les patches, (firefox, la NdM est de moi, donc a priori ya rien, mais j'ai ptet mal regardé) donc une nouvelle version corrigeant ces failles peut sortir d'une minute a l'autre...
# Vous arrivez à reproduite le spoof de certificats ?
Posté par yoconono . Évalué à 0.
-----------------------------
< HTML>
< HEAD>
< TITLE>Spoofer< /TITLE>
< META HTTP-EQUIV="REFRESH" CONTENT="0;URL=https://www.example.com(...)">
< /HEAD>
< BODY
onunload="
document.close();
document.writeln('< body onload=document.close();break;>
< h3>It is Great to Use example's Cert!');
document.close();
window.location.reload();
">
< /body>
----------------------------------
Quans je pointe vers un site https et bien... j'y arrive, tout simplement.
J'ai la configuration suivante :
Mandrake 10 official
Firefox 0.9.1 + switchproxy +adblock + user agent switcher
Pour le test :
1er test : une page html en local
2eme test : une page html sur un serveur distant (http of course)
Quelqun arrive à l'exploiter ?
[^] # Re: Vous arrivez à reproduite le spoof de certificats ?
Posté par DPhil (site web personnel) . Évalué à 3.
# Logiciel libre, sureté logiciel et la mythologie des balles en argent...
Posté par Alexandre Dulaunoy (site web personnel) . Évalué à 6.
Le logiciel libre aide plus pour la sécurité du logiciel par ses libertés mais n'est pas solution miracle (il ne doit pas en exister puisque ce sont des miracles ;-), Le logiciel libre apporte par ses libertés un outil fabuleux pour s'instruire, évoluer et programmer des logiciels plus sures et permet souvent d'éviter la sécurité par l'obscurité. Le logiciel libre libre est un outil pour améliorer la sécurité par le fait de ses 4 fabuleuses libertés. Ce *n'est pas* l'équation "logiciel libre = sûreté en ingénierie logiciel"...
[^] # Re: Logiciel libre, sureté logiciel et la mythologie des balles en argen
Posté par a_jr . Évalué à 4.
Bref, bonne lecture.
il ne doit pas en exister puisque ce sont des miracles
Mauvaise remarque. Les miracles, ca existe. Et j'ai meme un exemple: le fait que Windows soit installe sur plus de 90% des ordis de bureau et que son succes soit du a windows 95. Si ca, c'est pas un miracle !!!
Le bonjour chez vous,
Yves
[^] # Re: Logiciel libre, sureté logiciel et la mythologie des balles en argen
Posté par Raphaël G. (site web personnel) . Évalué à -3.
Microsoft sponsorise aussi énormément, c'est comme DirectX, Une daube inâme qui ne fait rajouter une couche entre OpenGL et les jeux, mais une bonne majorité l'utilisent...
[^] # Re: Logiciel libre, sureté logiciel et la mythologie des balles en argen
Posté par Fabimaru (site web personnel) . Évalué à 0.
Tu as tapé des mots au hasard sur ton clavier pour sortir cette bétise ? Si c'est de l'humour, je dois pas saisir sa subtilité
# y en a trop marre ...
Posté par blenderman . Évalué à -1.
A chaque fois je pense que se sera quelque chose de nouveau ... mais non !
ca commence a devenir vraiment lourd linuxfr...
Désolé ... c'était mon coup de gueule du matin.
[^] # Re: y en a trop marre ...
Posté par tgl . Évalué à 2.
> tête des dépèches de seconde page ...
C'est la deuxième fois. La première, c'était quand elle était neuve, et là, c'est parcequ'elle a été mise à jour pour annoncer les sorties des versions corrigées.
> ca commence a devenir vraiment lourd linuxfr...
Faut pas se faire du mal comme ça. Si la consultation de ce site t'est pénible, tu es libre d'arrêter quand tu veux.
# Extrait de 01 net
Posté par Valdenaire Denis (site web personnel) . Évalué à 2.
>>Les images open source ne sont pas infaillibles
>>Une série de six failles de sécurité, liées au format d'image open source PNG, >>exposerait les utilisateurs à des intrusions sauvages dans leur ordinateur, >>notamment sous Linux, Windows et Mac OS
intrusions sauvages dans leur ordinateur :)))
en plus, j'ai une popup qui surgit et qui indique : "si cette popup s'affiche, ca veut dire que 01net a tord de ne pas faire confiance à l'open source"
???
# Firefox 0.9.3 en francais
Posté par opensource . Évalué à 1.
Search plugins: http://firefox.fr(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.