Journal Nouvelle vulnérabilité pour Mozilla/Firefox

Posté par  .
Étiquettes :
0
17
juil.
2004
L'info est disponibe ici :
http://www.k-otik.net/bugtraq/07162004.Mozilla.php(...)

Je cite :
Une vulnérabilité a été identifiée dans Mozilla/Firefox, elle pourrait être exploitée par un attaquant distant afin de causer un Déni de Service. Le problème se situe au niveau de la gestion des certificats, ce qui pourrait être exploité via un MIME type "application/x-x509-email-cert" afin d'importer un certificat sans l'interaction de l'utilisateur. Ce certificat "malicieux" peut par exemple bloquer l'accès à un site SSL (s'il a le même DN -Distinguished Name- que le certificat installé).

Les versions concernées sont Mozilla 1.6x, Mozilla 1.7x, Firefox 0.8 et Firefox 0.9x.

Il n'y a pas encore de correctif officiel

Plus d'informations :
http://secunia.com/advisories/12076/(...)
http://bugzilla.mozilla.org/show_bug.cgi?id=249004(...)
  • # Ouille!

    Posté par  (site web personnel) . Évalué à 10.

    Ca me fait mal d'entendre ça. D'un coté, c'est tout à fait compréhensible, personne n'est parfait, je ne connais pas un programmeur qui soit sans faille.
    D'un autre coté ça me désole, quand j'ai lu la dépeche parlant de la fondation Mozilla, j'ai bien ricané en voyant les chiffres de téléchargement, je me suis dit que ça annoncé la mort d'IE. J'espere que personne ne va mettre à profit les différentes failles découvertes récemment pour plomber toute la série des Mozilla.

    Enfin, le point de vue positif, c'est qu'il ne faudra pas attendre 3 mois pour avoir un patch et qu'il est simple de comparer la réactivité du libre.

    Et une fois de plus je remercie tous les développeurs du libre, de nos offrir leurs temps libres pour nous permettre d'avoir qqchose de stable et qui ne nous transforme pas en vache à lait!
    • [^] # Re: Ouille!

      Posté par  . Évalué à 8.

      j'ai bien ricané en voyant les chiffres de téléchargement, je me suis dit que ça annoncé la mort d'IE
      Ben en fait l'un provoquera fatalement l'autre : plus il y aura de monde qui l'utilisera et plus on aura de vulnérabilités et autres bugs de trouvés.

      Enfin, le point de vue positif, c'est qu'il ne faudra pas attendre 3 mois pour avoir un patch et qu'il est simple de comparer la réactivité du libre.
      un patch est effectivement en cours mais ils semblent rencontrer des problème, c'est vrai que c'est bien moins trivial que la dernière vulnérabilité avec shell://
      • [^] # Re: Ouille!

        Posté par  (site web personnel) . Évalué à 4.

        Ben en fait l'un provoquera fatalement l'autre : plus il y aura de monde qui l'utilisera et plus on aura de vulnérabilités et autres bugs de trouvés.
        C'est une bonne chose ! Les bugs/vulnérabilités signalés puis corrigés rendent le logiciel plus stable, fiable, etc.

        Au niveau des utilisateurs, c'est tout bénef'.

        Au passage, je voudrais quand même dire que les logiciels "Mozilla" (mail, navigateurs, etc.) sont vraiment d' *excellente* qualité ! C'est rare que ça plante (oui, ça arrive), le soft est bien conçu, et on voit régulièrement des nouvelles fonctionnalités vraiment intéressantes se rajouter !

        C'est quand même dommage que Internet Explorer n'ai pas évolué. Microsoft aurait pu se bouger un peu le cul pour corriger les bugs, améliorer le support des standards, etc. Enfin, ça a permis à "Mozilla" de se développer, alors j'arrête de râler :-)

        @+ Haypo
        • [^] # Re: Ouille!

          Posté par  . Évalué à 0.

          Salut !! (on s'est vu à l'atelier gimp du lolut)

          Je ne peux pas croire que Microsoft ne nous mitonne pas une killer-app dans un coin. Parce que fo leur reconnaitre un truc : ils savent s'adapter au marché....
          • [^] # Re: Ouille!

            Posté par  (site web personnel, Mastodon) . Évalué à 2.

            oui ça s'appelle longhorn, c'est la future version de Windows. Il n'y aura plus de navigateur (sauf IE6 pour question de compatibilité avec les antécedents). tout sera vraiment tout intégré (avec leur système avalon XAML &co).

            Et pas de nouvelle version de IE ou assimilé à l'horizon.


            Parce que fo leur reconnaitre un truc : ils savent s'adapter au marché
            Ah oui ? Ben le marché demande des navigateurs conformes aux standards (cf les enquêtes des developpeurs de IE auprés des utilisateurs) et sécurisés. Ils n'en fournissent toujours pas.
            • [^] # Re: Ouille!

              Posté par  . Évalué à -1.

              le marché demande des navigateurs conformes aux standards (cf les enquêtes des developpeurs de IE auprés des utilisateurs) et sécurisés. Ils n'en fournissent toujours pas.

              J'ai pas vu d'etude ou la majorite des utilisateurs d'IE demandaient une meilleure conformite aux standards.
              Les devs web qui utilisent aussi Mozilla,... probablement, je doutes que ca fasse meme une forte minorite pour l'instant.

              Quand a la securite, ben tu verras dans 3-4 semaines le SP2 de XP et des changement assez enormes de ce cote la, ils ont mis le temps, mais c'est la.
              • [^] # Re: Ouille!

                Posté par  . Évalué à 3.

                Tiens, regarde ce qui est dit dans la newsletter distrowatch sur IE :
                http://www.distrowatch.com/weekly.php?issue=20040719(...)
                J'aimerais bien savoir ce que tu en dis, parce que sa thèse est plaisante.

                Je la résume :
                IE est très intégré à l'OS en général, bien plus que mozilla sous GNU/Linux par exemple, ce qui fait que les développeurs ont besoin de beaucoup plus de ressources pour pouvoir débugguer/corriger des failles sans que cela perturbe le reste du fonctionnement système.
                L'orientation prise pour la suite est d'intégrer encore plus IE dans l'OS, ce qui nous promet des délais encore plus longs de corrections des failles/bugs.
              • [^] # Re: Ouille!

                Posté par  . Évalué à 0.

                "Quand a la securite, ben tu verras dans 3-4 semaines le SP2 de XP et des changement assez enormes de ce cote la, ils ont mis le temps, mais c'est la.".
                Et vous avez déjà commencé ou pas a écrire les correctifs pour le sp2
    • [^] # Re: Ouille!

      Posté par  . Évalué à 3.

      Et une fois de plus je remercie tous les développeurs du libre, de nos offrir leurs temps libres

      Il y a des developpeurs du libre qui sont payes pour le faire, ceux qui sont employes par la Mozilla Foundation par exemple.
    • [^] # Re: Ouille!

      Posté par  . Évalué à 3.

      La sécurité est importante mais c'est surtout la réactivité qui compte.

      Je trolle dès quand ça parle business, sécurité et sciences sociales

  • # ama

    Posté par  (site web personnel) . Évalué à 3.

    Le plus gros bug de la suite Mozilla c'est de ne pas être capable de se mettre à jour toute seule comme une grande... (je sais c'est en préparation mais ca devient urgent apparement)
    • [^] # Re: ama

      Posté par  . Évalué à 4.

      Sous Linux les distribs le font, il vaut mieux utiliser leur version pour éviter de perturber ton système !
      • [^] # Re: ama

        Posté par  (site web personnel) . Évalué à 4.

        Et télécharger à chaque fois un rpm ou deb de mozilla en entier ? Pas de bol pour ceux qui n'ont pas l'ADSL.
      • [^] # Re: ama

        Posté par  (site web personnel) . Évalué à 1.

        chez moi les rpm de firefox n'ont jamais marché correctement (sous ma fedora core 2), alors bon voilà quoi...
    • [^] # Re: ama

      Posté par  (Mastodon) . Évalué à 3.

      La plus grande plaie de Windows, c'est que chaque appli doit se débrouiller pour s'installer / se mettre a jour / se désinstaller. C'est le job du système d'exploitation / de la distribution, ça.
  • # Re: l'info est disponibe ici :

    Posté par  . Évalué à 1.

    C'est quand même pénibe toutes ces failles ! Si ça continue faudra que ça cesse !!
    • [^] # Commentaire supprimé

      Posté par  . Évalué à 4.

      Ce commentaire a été supprimé par l’équipe de modération.

  • # pas de patch: Internet Explorer reste toujours sous la menace de Scob

    Posté par  . Évalué à 1.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.