Articles précédents : Articles
- [7] IBM n'a pas l'intention de faire appliquer ses brevets dans le noyau Linux
- [128] Remboursement chez Dell suite au refus du CLUF Windows
- [34] La ville de Munich suspend sa migration vers des solutions libres
- [87] HP fait des infidélités à Microsoft
- [15] Poursuivre les violeurs de brevets ne serait pas le but de Microsoft
- [97] Le noyau Linux violerait 283 brevets
- [57] Carrefour propose un PC équipé de MandrakeLinux sur son site Internet
- [43] Nouveau modèle de développement pour Linux
- [99] Nouvelle forme d'arnaque : l'usurpation d'identité de site web <i>via</i> XUL
- [10] La fièvre de l'Open Source gagne le marché des ERP
Liens connexes
- L'information sur Echu (717 hits)
- L'information sur MozillaZine (1128 hits)
- Rapport de bug pour le premier (234 hits)
- Rapport de bug pour le second (215 hits)
- L'info sur News.com (170 hits)
Dépêche modérée par
Dépêche éditée par
Articles : Nouvelles failles de sécurité de Mozilla et Firefox
Posté par DPhil (page perso, ). Modéré le 09 août 2004.
Un code malveillant permet de faire croire qu'un site possède un certificat de sécurité alors qu'il n'en a pas.
Plus grave, un attaquant peut écraser les certificats racines de l'autorité de certification.
Ces deux bugs ont été corrigés dans les sources mais il n'existe pas encore de version compilée disponible pour le public. L'équipe Mozilla ne sachant pas encore si elle doit faire une nouvelle version ou distribuer un patch. (NdM : a priori, pour ce qui est de Firefox, il n'y aura pas de nouvelle version avant la 1.0rc1 prévue pour le 10 août.)
Mise à jour : Firefox 0.9.3, Mozilla 1.7.2 et Thunderbird 0.7.3 sont sortis officiellement. (voir les problèmes de sécurité corrigés). Merci à EppO pour l'information.
![[fr]](../../../images/fr.png)
L'information sur Echu (717 hits)-
L'information sur MozillaZine (1128 hits)
![[en]](../../../images/en.png)
Rapport de bug pour le premier (234 hits)-
Rapport de bug pour le second (215 hits)
-
L'info sur News.com (170 hits)
> Lire les commentaires (35 commentaires, moyenne: 1,6).
[+] First Post ?
s/0.92/0.9.2
A voir aussi (sur ./) la faille qui permet à un site de "spoofer" l'interface XUL de Mozilla ou de Firefox et permettre de faire croire, par exemple, que la connexion est sécurisée ...
Article sur ./ :http://it.slashdot.org/article.pl?sid=04/07/31/0037210&tid=154&(...)
Voir ceci pour un exemple de spoof de l'interface XUL (cliquer sur View the spoof that mimics the interface of Firefox versions 0.9.0 - 0.9.2):http://www.nd.edu/~jsmith30/xul/test/spoof.html(...)
-
[^]Re: First Post ? t'es sûre que c'est intéressant ?
Posté par allcolor (Jabber id, page perso, ) le 31/07/2004 à 21:36. (lien). Évalué à 3.parce que bon :
http://linuxfr.org/2004/07/29/16929.html(...)--
All those moments will be lost in time, like tears in the rain.-
[+] [^]Re: First Post ? t'es sûre que c'est intéressant ?
Posté par ElVirolo (Jabber id, page perso, ) le 31/07/2004 à 21:46. (lien). Évalué à -9.C'est toute l'essence d'un first post, d'être redondant/inintéressant/stupide :) et puis je suis un garçon ...
Enfin, je n'avais pas lu l'article :(, si je pouvais me moinsser, je le ferais :(
-
-
[^]Re: First Post ?
Posté par ploum (page perso, ) le 31/07/2004 à 21:44. (lien). Évalué à 4.Je précise que DLFP ne sert pas qu'à offrir, via les commentaires, un espace d'expression aux lecteurs de /.
DLFP possède *aussi* son système de news qui est *parfois* plus rapide : http://linuxfr.org/2004/07/29/16929.html(...)
Le tout est aggrémenté de forums, de journaux, d'un système de vote dees commentaires qui sert principalement à servir de trol..sujet aux journaux et aux fora, bref linuxfr c'est aussi très bien, c'est en français, mangez-en...
...
C'est vrai que je devrais peut-être aller dormir, comment avez-vous deviner ?-
[^]Re: First Post ?
Posté par Brice2Nice () le 01/08/2004 à 00:28. (lien). Évalué à 5.Est il super important de dire que linuxfr est *parfois* plus rapide ?
linuxfr est surtout 42 fois plus joulie graphiquement et apporte une
meilleure qualité de lecture-
[^]Re: First Post ?
Posté par mansuetus (page perso, ) le 02/08/2004 à 05:11. (lien). Évalué à 0.ce qui m'a fait fuir de /. à chaque fois que j'y suis allé (vous comprendrez à mon XP pourquoi je m'y suis intéressé ;-) )
-
-
-
[^]Spoofing et FUD
Posté par TazForEver () le 01/08/2004 à 09:47. (lien). Évalué à 5.moi je vois pas vraiment de faille dans le spoofing : beaucoup de site font l'amalgame, toi aussi. Rappelons leur qu'en deux lignes de VB, on peut enregister un iexplore.exe de son cru et faire n'importe quoi ...
C'est le même problème qu'un faux gestionnaire de login qui mémoriserait d'abord ton mot de passe avant d'effectivement ouvrir ta session.
Ce n'est pas une faille en soi.-
[^]Re: Spoofing et FUD
Posté par SoWhat () le 02/08/2004 à 06:49. (lien). Évalué à 1.note que (pas de bol) ton exemple est foireux car, sous XP en tout cas, tu ne peux *pas* modifier iexplore.exe: après qques secondes il est automatiquement restauré par l'OS (et ce même si les options de restauration auto du système son désactivées ).
-
[^]Re: Spoofing et FUD
Posté par Jerome Herman () le 02/08/2004 à 08:06. (lien). Évalué à 5.tu ne peux *pas* modifier iexplore.exe: après qques secondes il est automatiquement restauré par l'OS
Ca se contourne relativement facilement. Soit en bootant en mode sans echec, soit en le remplacant pendant la boot phase de windows. Personellement le nombre de truc qui se restaurent automatiquement que j'ai giclé de mes Windows XP (Messenger, Outlook, MediaPlayer pour ne citer que les plus célèbres).
Par contre l'autorestore est une fonctionnalité géniale pour les auteurs de virus... Certains spywares s'en servaient avant le SP1, je ne sais pas si c'est encore valable.
Kha-
[+] [^]Re: Spoofing et FUD
Posté par Raphaël Gertz (Jabber id, page perso, ) le 09/08/2004 à 13:01. (lien). Évalué à -2.l'autorestore me fait bien rire!!!
Il suffit d'aller corrompre le fichier et son bacup en clair (non crypté ou compressé!!!) dans c:\windaube\system32\driver\cache il me semble (le path j'en suis pas sur j'ai pas été tappé dedans depuis des mois...)
Bon allez on va dire que pour une fois m$ a essayé de mettre en place une protection...-
[^]Re: Spoofing et FUD
Posté par Wawet76 (page perso, ) le 09/08/2004 à 13:43. (lien). Évalué à 3.Ton path doit effectivement être mauvais.
En tout cas sur mon NT au bureau, je n'ai pas de répertoire c:\windaube\
-
-
-
[^]Re: Spoofing et FUD
Posté par LupusMic (page perso, ) le 09/08/2004 à 13:15. (lien). Évalué à 2.Et comment sont faites les mises à jour ?
-
-
-
[^]Re: First Post ?
Posté par opensource () le 17/08/2004 à 08:30. (lien). Évalué à 1.Mozilla Firefox: http://www.firefox.fr(...)
FireFox vs IE (Ho, My god)
IE n'est plus recommander aux Etat Unis par un obscure organisme (il n'est du tout obscure mais je ne me rappel pas du nom en rentrant de boite à 4h30 du mat). A la place ils recommandaient Mozilla/FireFox, Opera... D'ailleurs Mozilla/FireFox avaient repris un peu de terrain sur IE. Mais avec des annonces de failles ça devient plus chiant niveau crédibilité. Evidement, on ne va pas les cacher à la M$ surtout si elles sont corrigées rapidement. Mais il faut avouer que c'est un peu chiant vis à vis du grand public. Donc tout ça pour dire : tant mieux qu'elles soient trouvées et corrigées rapidement mais fait chier tout de même!
-
[^]Re: FireFox vs IE (Ho, My god)
Posté par governator () le 01/08/2004 à 08:24. (lien). Évalué à 1.C'est vrai, j'installe systématiquement Firefox en insistant sur le côté sécurité (car le respect des standards du web n'intéresse personne à part les développeurs) mais l'argument commence à s'effriter.
Cependant, il ne faut pas oublier que cela reste une "preview technology", espérons que la 1.0 comblera tous ces problèmes.-
[^]Re: FireFox vs IE (Ho, My god)
Posté par Castor666 () le 01/08/2004 à 09:29. (lien). Évalué à 3.espérons que la 1.0 comblera tous ces problèmes.
Mozilla 1.7 n'est pas une "preview technology", et comporte évidemment la même faille. Même arrivé à la version 1, on pourra aussi trouver des nouvelles failles de ce genre dans FireFox. Ce numéro de version symbolique indiquera juste que le logiciel sera assez mature en général pour une utilisation stable.
-
[^]Re: FireFox vs IE (Ho, My god)
Posté par Zorro () le 02/08/2004 à 07:41. (lien). Évalué à 3.Comme quoi, la sécurité est en fait un TRÈS mauvais argument. Parce qu'un code sans faille, ça n'existe pas. Et comme il y en aura toujours une qui arrivera à un moment ou l'autre, toi, tu auras l'air tout con.
Le Libre est une bonne méthode pour découvrir et combler rapidement les failles, c'est sûr, mais c'est pas la panacée.-
[^]Re: FireFox vs IE (Ho, My god)
Posté par GhZaaark3 () le 15/08/2004 à 17:53. (lien). Évalué à 1.Au contraire la sécu est un bon argument
Vu qu'il y a une réactivité quasi instantannée quant à la résolution du problème et à sa diffusion.
Sinon concernant ces failles, très peut de sites peuvent l'exploiter - non pas techniquement - mais contextuellement. Je vois mal l'intérêt: les sites d'achats en ligne qui se respectent sont facilement identifiables du fait entre autre de leurs renommés.
et puis faut relativiser, les failles Mozilla/firefox sont moins graves du moins pour les OS Libres qui sont difficiles à mettre en pièces que celles d'IE qui est une porte ouverte, limite IE vous offre le café pendant qu'il se fait cracké :)
toutefois ça ne signifie pas qu'il faille prendre ses anonces à la légère--
moué...
-
-
-
[^]Re: FireFox vs IE (Ho, My god)
Posté par Stéphane Salès (page perso, ) le 01/08/2004 à 09:59. (lien). Évalué à 3.L'organisme en question c'est le CERT.
Dernier avis en date (je n'ai pas retrouvé celui où ils conseillent d'utiliser autre chose que IE) : http://www.us-cert.gov/cas/techalerts/TA04-212A.html(...)
Pour en revenir à la news, je trouve quand même qu'on est très loin de ca : http://iebug.com/(...)
Ca n'excuse pas tout mais de là à dire que firefox perd en crédibilité.-
[^]Re: FireFox vs IE / avis du CERT
Posté par Eric92 () le 02/08/2004 à 01:06. (lien). Évalué à 5.D'après l'article http://linuxfr.org/2004/06/30/16690.html(...)
cet avis est http://www.kb.cert.org/vuls/id/713878(...)-
[^]Re: FireFox vs IE / avis du CERT
Posté par Dalton joe (page perso, ) le 09/08/2004 à 14:01. (lien). Évalué à 0.Oui mais attention, bientot IE7 avec png.
http://www.internetnews.com/ent-news/article.php/3392061(...)
-
-
-
[^]Re: FireFox vs IE (Ho, My god)
Posté par PloufPlouf (Jabber id, page perso, ) le 09/08/2004 à 14:00. (lien). Évalué à 4.>rentrant de boite à 4h30 du mat
et tu traines sur dlfp ?
doit-on comprendre que tu es rentré seul...
oui bon, je sors-
[+] [^]Re: FireFox vs IE (Ho, My god)
Posté par Fred (page perso, ) le 09/08/2004 à 19:24. (lien). Évalué à -2.non, j'ai baisé dans un champs pendant 2 heures sous le clair de lune. Et après on est rentré mais chacun chez soit.
-
Comment ?
L'équipe Mozilla ne sachant pas encore si elle doit faire une nouvelle version ou distribuer un patch.
S'ils ne veulent pas perdre en crédibilité, il vaut mieux qu'ils fassent les deux, et rapidement encore !
Bon, j'arrête de râler : --> http://www.tusors.fr.st/(...)
In tartiflette we trust !
-
[^]Re: Comment ?
Posté par Mathieu Pillard (page perso, ) le 01/08/2004 à 12:20. (lien). Évalué à 9.Sortir des nouvelles releases est lourd, et plus important l'un des 2 patches n'est pas assez testé encore, et, pire, durant sa creation ils ont découvert un autre bug. Donc au final, c'est encore relativement flou.
Maintenant, ya une branche 1.7.3 et meme 1.4.3 pour mozilla avec les patches, (firefox, la NdM est de moi, donc a priori ya rien, mais j'ai ptet mal regardé) donc une nouvelle version corrigeant ces failles peut sortir d'une minute a l'autre...
Vous arrivez à reproduite le spoof de certificats ?
Salut, je n'arrive pas à epxloiter le code fourni sur ECHU
-----------------------------
< HTML>
< HEAD>
< TITLE>Spoofer< /TITLE>
< META HTTP-EQUIV="REFRESH" CONTENT="0;URL=https://www.example.com(...)">
< /HEAD>
< BODY
onunload="
document.close();
document.writeln('< body onload=document.close();break;>
< h3>It is Great to Use example's Cert!');
document.close();
window.location.reload();
">
< /body>
----------------------------------
Quans je pointe vers un site https et bien... j'y arrive, tout simplement.
J'ai la configuration suivante :
Mandrake 10 official
Firefox 0.9.1 + switchproxy +adblock + user agent switcher
Pour le test :
1er test : une page html en local
2eme test : une page html sur un serveur distant (http of course)
Quelqun arrive à l'exploiter ?
-
[^]Re: Vous arrivez à reproduite le spoof de certificats ?
Posté par DPhil (page perso, ) le 02/08/2004 à 14:13. (lien). Évalué à 3.Je pense que tu dois mettre la page sur un site en https mais qui n'a pas de certif valide.
Logiciel libre, sureté logiciel et la mythologie des balles en argent...
Une fois de plus, il est important de noter que l'argumentaire le plus valide est l'argumentaire de la liberté et non celui de la technique. Le logiciel libre possède quelques avantages complémentaires au logiciel propriétaire sur les questions de sécurité (la *possibilité* d'étudier le logiciel et son code source). Mais cela n'est pas une garantie, la sécurité (sureté) logiciel est une chose difficile par le fait même de la structure et l'architecture des ordinateurs et de la complexité. Il n'existe pas de recettes miracles pour résoudre les vulnérablités mais un ensemble de règles pour *limiter* les risques. Il me semble que certains CSIRTs (comme le CERT(tm)) sont dans les débuts de réflexion sur le sujet alors que le sujet est couvert de plus en plus par la littérature (on peut regarder les écrits de John Viega (http://www.viega.org/(...)) sur le sujet ou les ouvrages comme "Secure Coding" (0-596-00242-4) ou "Exploiting Software" (0201786958)).
Le logiciel libre aide plus pour la sécurité du logiciel par ses libertés mais n'est pas solution miracle (il ne doit pas en exister puisque ce sont des miracles ;-), Le logiciel libre apporte par ses libertés un outil fabuleux pour s'instruire, évoluer et programmer des logiciels plus sures et permet souvent d'éviter la sécurité par l'obscurité. Le logiciel libre libre est un outil pour améliorer la sécurité par le fait de ses 4 fabuleuses libertés. Ce *n'est pas* l'équation "logiciel libre = sûreté en ingénierie logiciel"...
-
[^]Re: Logiciel libre, sureté logiciel et la mythologie des balles en argen
Posté par a_jr () le 02/08/2004 à 10:37. (lien). Évalué à 4.Amusant, je lis ca (http://www.opensource.org/halloween/halloween11.html(...)) et ton commentaire va dans le meme sens.
Bref, bonne lecture.
il ne doit pas en exister puisque ce sont des miracles
Mauvaise remarque. Les miracles, ca existe. Et j'ai meme un exemple: le fait que Windows soit installe sur plus de 90% des ordis de bureau et que son succes soit du a windows 95. Si ca, c'est pas un miracle !!!
Le bonjour chez vous,
Yves-
[+] [^]Re: Logiciel libre, sureté logiciel et la mythologie des balles en argen
Posté par Raphaël Gertz (Jabber id, page perso, ) le 09/08/2004 à 13:08. (lien). Évalué à -3.Heuu y a des miracles qui se sponsorisent : Coca Cola, Pepsi, etc...
Microsoft sponsorise aussi énormément, c'est comme DirectX, Une daube inâme qui ne fait rajouter une couche entre OpenGL et les jeux, mais une bonne majorité l'utilisent...-
[^]Re: Logiciel libre, sureté logiciel et la mythologie des balles en argen
Posté par Tennis Prono (page perso, ) le 09/08/2004 à 17:50. (lien). Évalué à 0.c'est comme DirectX, Une daube inâme[bla bla bla]
Tu as tapé des mots au hasard sur ton clavier pour sortir cette bétise ? Si c'est de l'humour, je dois pas saisir sa subtilité--
Pas de bureau 3d libre sans drivers libres!
-
-
[+] y en a trop marre ...
Ca fait la troisième ou quatrième fois que je vois cette news en tête des dépèches de seconde page ...
A chaque fois je pense que se sera quelque chose de nouveau ... mais non !
ca commence a devenir vraiment lourd linuxfr...
Désolé ... c'était mon coup de gueule du matin.
-pol-
-
[^]Re: y en a trop marre ...
Posté par tgl () le 10/08/2004 à 12:04. (lien). Évalué à 2.> Ca fait la troisième ou quatrième fois que je vois cette news en
> tête des dépèches de seconde page ...
C'est la deuxième fois. La première, c'était quand elle était neuve, et là, c'est parcequ'elle a été mise à jour pour annoncer les sorties des versions corrigées.
> ca commence a devenir vraiment lourd linuxfr...
Faut pas se faire du mal comme ça. Si la consultation de ce site t'est pénible, tu es libre d'arrêter quand tu veux.
Extrait de 01 net
http://www.01net.com/article/249374.html(...)
>>Les images open source ne sont pas infaillibles
>>Une série de six failles de sécurité, liées au format d'image open source PNG, >>exposerait les utilisateurs à des intrusions sauvages dans leur ordinateur, >>notamment sous Linux, Windows et Mac OS
intrusions sauvages dans leur ordinateur :)))
en plus, j'ai une popup qui surgit et qui indique : "si cette popup s'affiche, ca veut dire que 01net a tord de ne pas faire confiance à l'open source"
???
Firefox 0.9.3 en francais
Firefox 0.9.3 en francais --> http://www.firefox.fr(...)
Search plugins: http://firefox.fr(...)
Cette page a été générée par Templeet en 0.1695s (dont 0.0478 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.