tag:linuxfr.org,2005:/users/littleboyLinuxFr.org : les contenus de Littleboy2009-07-15T05:07:30+02:00/favicon.pngtag:linuxfr.org,2005:Diary/285402009-07-15T05:07:30+02:002009-07-15T05:07:30+02:00Vulnérabilité critique dans Firefox 3.5
A peine quelques jours après la sortie de Firefox 3.5, une première faille de sécurité a été découverte dans le compilateur JavaScript Just In Time (JIT). Elle est notée comme hautement critique par Secunia [1] et permet l'exécution de code à distance avec accès au système cible.<br />
<br />
Le problème se trouve au niveau de la gestion du code JavaScript dans le tag "font".<br />
<br />
<span>Contournement temporaire</span><br />
<br />
Heureusement il est possible de se protéger en désactivant temporairement le JIT pour le JavaScript [2].<br />
<br />
Pour cela, il suffit de se rendre dans <i>about:config</i>, puis de rechercher l'option <i>javascript.options.jit.content</i> et de la passer à <i>false</i>.<br />
<br />
<span>Commentaire</span><br />
<br />
Quand certains rappelaient que la différence en nombre de vulnérabilité entre Firefox et IE était illusoire et que le jour ou Firefox attendrait une part de marche conséquente, on aurait exactement le même type de problème, on leur riait au nez et on les traitaient de crétins, quand ce n'était pas de traître a la cause du LL. J'en connais qui doivent moins rigoler aujourd'hui...<br />
<br />
Pas de chance pour Mozilla en tout cas, entre un 0-day et une énorme régression dans NSS (a vouloir réinventer la roue, aussi), c'est pas le bon moment pour partir en vacances.<br />
<br />
[1] <a href="http://secunia.com/advisories/35798/">http://secunia.com/advisories/35798/</a><br />
[2] <a href="http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35/">http://blog.mozilla.com/security/2009/07/14/critical-javascr(...)</a><br />
[3] <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=503970">https://bugzilla.mozilla.org/show_bug.cgi?id=503970</a> (bloque pour le moment)<div><a href="https://linuxfr.org/users/littleboy/journaux/vuln%C3%A9rabilit%C3%A9-critique-dans-firefox-35.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/54864/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/littleboy/journaux/vuln%C3%A9rabilit%C3%A9-critique-dans-firefox-35#comments">ouvrir dans le navigateur</a>
</p>
Littleboyhttps://linuxfr.org/nodes/54864/comments.atomtag:linuxfr.org,2005:News/250162009-02-13T10:19:29+01:002009-02-13T10:19:29+01:00Sortie de Moonlight 1.0<div><a href="http://en.wikipedia.org/wiki/Moonlight_(runtime)">Moonlight</a> est une implémentation open-source de <a href="http://fr.wikipedia.org/wiki/Silverlight">Silverlight</a> (le moteur de rendu vectoriel de Microsoft destiné au Web) pour Linux et systèmes d'exploitation Unix/X11. Cette première version est le résultat d'un effort conjoint entre Novell et Microsoft. Moonlight est distribué sous forme de greffon pour Firefox 2 et 3.
<br />
<br />
Cette version 1.0 implémente l'API Silverlight 1.0 (avec une compatibilité avec la pile multimédia 2.0 - moins le support DRM). L'implémentation passe toutes les suites de tests de régression de Microsoft et est distribuée avec les packs Multimédia de Microsoft pour architectures x86 et x86-64.
<br />
<br />
Moonlight 1.0 est écrit en C++ et ne contient pas l'environnement d'exécution ECMA <a href="http://fr.wikipedia.org/wiki/Common_Language_Infrastructure">CLI</a>. L'interaction avec le greffon se fait en utilisant le moteur <a href="http://fr.wikipedia.org/wiki/JavaScript">Javascript</a> du navigateur. Moonlight est distribué sous la licence <a href="http://fr.wikipedia.org/wiki/LGPL">LGPL</a> v2.
<br />
<br />
Avec Silverlight 2.0 (et dans le futur Moonlight 2.0), un nouveau modèle d'interaction est disponible sous la forme d'un environnement d'exécution <a href="http://fr.wikipedia.org/wiki/Microsoft_.NET">.Net</a>, permettant d'interagir avec le greffon en utilisant n'importe quel langage supporté par .Net (<a href="http://fr.wikipedia.org/wiki/C_Sharp">C#</a>, VB#, <a href="http://en.wikipedia.org/wiki/Boo_(programming_language)">Boo</a>, <a href="http://en.wikipedia.org/wiki/Ironruby">IronRuby</a>, IronPython, ...).</div><ul><li>lien nᵒ 1 : <a title="http://www.go-mono.com/moonlight/" hreflang="en" href="https://linuxfr.org/redirect/60541">Télécharger Moonlight</a></li><li>lien nᵒ 2 : <a title="http://tirania.org/blog/archive/2009/Feb-11.html" hreflang="en" href="https://linuxfr.org/redirect/60542">Blog de Miguel de Icaza</a></li><li>lien nᵒ 3 : <a title="http://weblogs.asp.net/scottgu/archive/2009/02/11/moonlight-1-0-release.aspx" hreflang="en" href="https://linuxfr.org/redirect/60543">Blog de Scott Guthrie (Corporate Vice President, .Net developer Division, Microsoft)</a></li><li>lien nᵒ 4 : <a title="http://feedproxy.google.com/~r/ScottHanselman/~3/xkeFMk8xrEc/Moonlight10ReleaseOpenSourceSilverlight10ImplementationOnLinux.aspx" hreflang="en" href="https://linuxfr.org/redirect/60544">Blog de Scott Hanselman</a></li><li>lien nᵒ 5 : <a title="http://videoshow.vertigo.com/" hreflang="en" href="https://linuxfr.org/redirect/60545">Application Video.Show de Vertigo pour tester</a></li><li>lien nᵒ 6 : <a title="http://spreadsheets.google.com/viewform?key=psayWtmBVDF202mhfrIy0IA&pli=1" hreflang="en" href="https://linuxfr.org/redirect/60546">Sondage pour support multimédia sur autres plates-formes Unix</a></li></ul><div></div><div><a href="https://linuxfr.org/news/sortie-de-moonlight-10.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/24120/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/sortie-de-moonlight-10#comments">ouvrir dans le navigateur</a>
</p>
Julienhttps://linuxfr.org/nodes/24120/comments.atomtag:linuxfr.org,2005:Diary/268192008-06-20T17:48:07+02:002008-06-20T17:48:07+02:00Microsoft: "ODF has clearly won"
Lors de la conférence RedHat Summit, Stuart McKee a déclaré que ODF avait clairement gagné la bataille des standards.<br />
<br />
"We sell software for a living. The ability to implement ODF in the middle of our ship cycle was just not possible," he said. "We couldn't do that during the release of Office 2007. We're looking forward and committed to doing more than [ODF-to-OOXML] translators."<br />
<br />
Évidemment, il va falloir attendre pour voir ce que ça donne vraiment, mais si ils ajoutent un filtre import/export pour ODF (complet...) je pense que c'est une bonne nouvelle. Et ça leur permet de répondre aux appels d'offre publics (dans le cas assez probable où OOXML traîne encore...<br />
<br />
Si il y a une chose qu'on ne peut pas reprocher à MS, c'est d'être dogmatique au point de continuer à foncer dans une direction quand tout leur indique qu'ils se plantent.<br />
<br />
On l'avait déjà vu avec le tournant du Net (qu'ils avaient raté), ça a l'air de recommencer avec ODF.<br />
<br />
Pre-emptive snarky comment:<br />
"MS c'est des menteurs, ils vont chercher à étouffer ODF de toute façon"<div><a href="https://linuxfr.org/users/littleboy/journaux/microsoft-odf-has-clearly-won.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/53198/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/littleboy/journaux/microsoft-odf-has-clearly-won#comments">ouvrir dans le navigateur</a>
</p>
Littleboyhttps://linuxfr.org/nodes/53198/comments.atom