Mise à jour de Firefox pour des problèmes de vulnérabilités

Posté par  . Modéré par Jaimé Ragnagna.
Étiquettes :
0
13
juil.
2005
Mozilla
Douze vulnérabilités ont été identifiées dans Mozilla Suite et Firefox, elles peuvent conduire à « compromettre un système vulnérable » selon le bulletin d'alerte de FrSIRT (ex-kotik) publié le lundi 11 juillet.

La fondation Mozilla a donc publié mardi 12 juillet la version 1.0.5 du navigateur Internet Mozilla Firefox corrigeant ces vulnérabilités. Cette version est uniquement une mise à jour de sécurité.

Il est à noter que le bulletin d'alerte fait également référence à la vulnérabilité de la suite Mozilla et du lecteur de courrier électronique Mozilla Thunderbird et, si une mise à jour de sécurité 1.7.9 de la suite Mozilla est annoncée (mais encore introuvable), rien n'a été publié pour Thunderbird.

Pour rester dans la famille Mozilla, la fondation a également fait part de la sortie Deer Park alpha 2, c'est-à dire du futur Mozilla Firefox 1.1 (renommé pour ne pas tenter le quidam). Principalement destinée aux beta-testeurs, cette version intéressera également les développeurs d'extensions, de thèmes et d'applications Web qui pourront s'en servir d'ores et déjà pour des tests de compatibilité et de fonctionnalités. N'hésitez donc pas à y jeter un oeil pour ajouter votre pierre à l'édifice.

Aller plus loin

  • # Commentaire supprimé

    Posté par  . Évalué à 4.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Mise à jour de Firefox pour des problèmes de vulnérabilités

      Posté par  . Évalué à 10.

      C'est dans ces périodes de doute et d'incertitudes que l'on se remet à réver que l'ONU mette son nez dans cette gestion catastrophique des mises à jour.

      Par exemple ne pas autoriser la sortie de la version Anglaise tant que toutes les versions localisées ne sont pas disponibles.

      Ou créer des zones comme pour les DVD, avec un accord des maichants exploiteurs de failles pour qu'ils n'attaquent en Europe que 6 mois après la sortie en salle aux U.S.

      Au fait ... comment faisais-tu pour vivre avec ce poid sur la conscience, à savoir un navigateur faillible depuis plusieurs semaines ? Je suis interessé parce que pour ma part je le supportais très mal et j'ai failli ne pas terminer mon dessert hier soir (alors que la tarte tatin c'est sacré !)


      M
    • [^] # Firefox and Thunderbird 1.0.6 annoncés

      Posté par  . Évalué à 3.

      Seulement quelques jours après la publication de Firefox 1.0.5 et de Thunderbird 1.0.5, il apparaît certain que des versions 1.0.6 seront disponibles cette semaine.

      Il semble que des changements dans les API des versions 1.0.5 ont empêché, par inadvertance, certaines extensions de fonctionner, sans provoquer cependant de problèmes de sécurité. (L'extension Enigmail PGP pour Thunderbird, par exemple, ne marche plus...)
      Ces problèmes seront corrigés dans les versions 1.0.6.

      Pour le moment, les versions 1.0.5 de Firefox et de Thunderbird sont seulement disponibles en anglais (en-US).
      Aucune version localisée n'a été placée en ligne, et les équipes de traduction ont reçu comme conseil de ne plus travailler sur les versions 1.0.5. Il semble que ces versions 1.0.5 localisées seront complètement sautées, et que les prochaines versions non anglaises seront 1.0.6.

      Plusieurs équipes de localisation ne sont pas heureuses de la situation. Beaucoup se sont plaints du manque d'information claire donnée par la Fondation Mozilla, et s'inquiètent de ce que leurs utilisateurs restent vulnérables à plusieurs failles de sécurité publiquement détaillées. Ils craignent que les utilisateurs et/ou la presse les rendent responsable de cette confusion...

      "Quelques jours de plus, et ce sera une très mauvaise publicité pour Firefox en dehors des Etats-Unis..." souligne un traducteur polonais.
      Pour beaucoup, il est incompréhensible qu'une correction de bogues entraîne une modification des APIs et nécessite une nouvelle traduction. L'attitude américano-centrique et arrogante de la Fondation Mozilla est critiquée un peu partout en dehors des USA.

      http://www.mozillazine.org/talkback.html?article=6950(...)
  • # comme d'habitude...

    Posté par  (site web personnel) . Évalué à 2.

    Et comme d'habitude, seule la version US est dispo...

    ce qui me gène dans ce genre de publication, c'est le fait que si l'on veut réellement se protéger, la seule façon est d'installer la version US !

    en plus, comme on insiste bien sur les failles corrigées, c'est encore plus simple de trouver les failles à exploiter sur les autres versions pour les pirates ! bref, attention à vous si comme moi vous utilisez une version française !
    • [^] # Commentaire supprimé

      Posté par  . Évalué à 4.

      Ce commentaire a été supprimé par l’équipe de modération.

  • # Houlà!!

    Posté par  . Évalué à 9.

    Et comme d'habitude toujours des insatisfaits prêts à râler parce que la mouture n'est pas disponible dans la langue de Molière à l'heure où j'écris ces lignes...

    Hier les failles étaient bien connues et pourtant tout le monde utilisait son petit firefox 1.0.4 sans broncher et bien content de l'avoir sous la main.

    La traduction par frenchmozilla de la v1.0.5 en FR est faite bénévolement alors on le rappelle encore, merci des efforts qui sont faits de ce côté et patience de quelques heures voir quelques jours =)

    Merci à eux.
    • [^] # Re: Houlà!!

      Posté par  . Évalué à 10.

      Loin de moi l'idée de critiquer leur travail, mais je m'intéroge sur le concept de délai de traduction pour une mise à jour de sécurité. Bref conretement a part peut etre une release note, il y a autre chose ?
      • [^] # Re: Houlà!!

        Posté par  (site web personnel) . Évalué à 10.

        je suis entièrement d'accord !! (et je ne veux pas non plus descendre les dev)

        si firefox 1.0.5 présente de nouvelles fonctionnalités, je comprend que ce soit long à traduire s'il y a peu de contributeurs.

        mais dans ce cas, il faudrait sortir une 1.0.4.1 qui ne corrige que les failles et n'intègrent aucune nouvelle fonctionnalité ! comme cela, seule le changelog est à modifier et les chaînes traduites de la 1.0.4 s'appliquent sans aucun problème !!

        car bon, c'est bien beau de dire que firefox est secur, mais faut assurer jusqu'au bout !!

        PS : merci aux développeurs de firefox hein ! je sais qu'ils ne font pas un boulot facile !
      • [^] # Re: Houlà!!

        Posté par  . Évalué à 10.

        Pourquoi ne pas faire comme Opera (sapusaipalibre) ? Opera utilise un fichier de langue (bete fichier texte .lng). Ainsi a chaque mise a jour de securite, il n'y a pas ce probleme.
        En outre, je trouve que ca facilite la traduction (n'importe qui peut le faire, j'ai aucune idee de comment ca marche dans Firefox)
        • [^] # Re: Houlà!!

          Posté par  (site web personnel, Mastodon) . Évalué à 3.

          > Pourquoi ne pas faire comme Opera ?

          pour ton information, toutes les chaînes de langues se trouvent justement dans des fichiers séparés.
          Plus précisement, dans des DTD (ba oui, tout est xml dans firefox ;-) ) ou des fichiers properties et que l'on inclus via des entités (DTD) ou balises stringbundle

          http://xulfr.org/xulplanet/xultu/locale.html(...)
          • [^] # Re: Houlà!!

            Posté par  . Évalué à 2.

            Oui, je l'avais compris. Tout ce que tu racontes est tres interessant mais pas tres user-friendly. Dans Opera, tu peux choisir un fichier de langue tres facilement dans les preferences.
    • [^] # Re: Houlà!!

      Posté par  . Évalué à 10.

      Question indirecte, pourquoi ce n'est pas la fondation mozilla - avec l'aide de frenchmozilla et d'autres groupes de traducton - d'intégrer cela dans le CVS/SVN de Mozilla ?
      Ca serait pas plus simple que de dispatché les versions localisées un peu partout ?
    • [^] # Commentaire supprimé

      Posté par  . Évalué à 9.

      Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Houlà!!

      Posté par  (site web personnel) . Évalué à 3.

      "... quelques heures voir quelques jours =)"
      On dit "voire" et non "voir".

      Sinon, je te rejoins pour dire que les traductions c'est du bonus, donc pas besoin de se plaindre le jour de la sortie VO :-/
  • # Version française

    Posté par  (site web personnel) . Évalué à 10.

    Bon, pour calmer les esprits, la version française de Firefox 1.0.5 est prête depuis quelques jours. Elle va arriver incessamment.
    Les versions localisées sont produites directement par la fondation Mozilla à partir des fichiers de traduction situés dans le CVS Mozilla.org. Nous (l'équipe French Mozilla) sommes donc également dans l'attente de cette version.
    Étant donné la trentaine de langues à gérer on peut imaginer que cela demande quand même une charge de travail conséquente. Ils ont donc certainement paré au plus urgent en sortant déjà une version anglaise.
    • [^] # Re: Version française

      Posté par  . Évalué à 3.

      Tiens tu pourras peut-être m'expliquer un truc : pourquoi ne pas intégrer directement toutes les langues dans une seule version ? C'est une question de place disque ?
      • [^] # Re: Version française

        Posté par  (site web personnel) . Évalué à 3.

        Une archive .jar contenant les traductions fait entre 500 et 800Ko environ. Multiplié par une trentaine de langue...
        Malgré la compression ça ne serait pas acceptable je pense.
        • [^] # Re: Version française

          Posté par  (site web personnel) . Évalué à 10.

          Pourquoi la langue fait partie integrante de la version ? Avec des outils valides depuis longtemp, comme Gnu Gettext ou bien l'equivalent Trolltech (Qt Assistant ou KBabel), ou encore des trucs en Xml, il est tres tres facile de charger la langue au moment de l'execution.

          Une mise a jour de securite n'incluant a priori pas de changements de texte, la version de Firefox devrait a priori etre disponible dans toutes les langues en meme temps, non ?

          J'ai l'impression d'etre sous windows, ou tu ne peux pas melanger Visual C++ en francais et une mise a jour en anglais.
          • [^] # Re: Version française

            Posté par  (site web personnel, Mastodon) . Évalué à 5.

            voir ma réponse plus haut

            tout est dans des fichiers de langues (soit des DTD, soit des fichiers properties) http://xulfr.org/xulplanet/xultu/locale.html(...)

            De ce fait, il est trés trés facile de charger la langue au moment de l'execution comme tu dit.

            Le problème est juste une histoire de packages. ils ne fournissent pas les paquages de langues séparement pour Firefox, alors qu'ils le font pour la suite Mozilla. Pourquoi ? j'en sais rien...
            • [^] # Re: Version française

              Posté par  (site web personnel) . Évalué à 2.

              Pourquoi c'est la bonne question ...
              Cela fait un moment que je suis avec Firefox&Thunderbird, surtout a cause des extensuins et fonctions disponibles et j'espère que SeaMonkey va s'améliorer vite pour bénéficier des extensions et des fonctionnalités qui manquent.
              Vive Seamonkey
    • [^] # Re: Version française

      Posté par  . Évalué à 8.

      la version française de Firefox 1.0.5 est prête depuis quelques jours. Elle va arriver incessamment.

      Très bien.
      D'ailleurs, tout mes remerciements pour votre excellent travail.

      Les versions localisées sont produites directement par la fondation Mozilla à partir des fichiers de traduction situés dans le CVS Mozilla.org.

      C'est quand même un peu dommage que la localisation ne s'effectue pas avec des fichiers de ressources chargés à l'excécution et avec des identificateurs à peu près constants, ça permettrait :
      - de pouvoir utiliser une nouvelle version dès qu'elle sort avec les fichiers de localisations de l'ancienne et avec pour seul préjudice les quelques nouvelles chaînes pas traduites;
      - de permettre aux utilisateurs de choisir la langue de l'interface sans avoir à installer plusieurs versions de l'appli;
      - aux traducteurs de ne pas attendre après la fondation Mozilla;
      - à la fondation Mozilla, après peut-être un peu plus de boulot, de ne plus avoir rien à faire par rapport aux traductions faites par des équipes tierces.

      « Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone

      • [^] # Re: Version française

        Posté par  (site web personnel) . Évalué à 3.

        Tu peux tout à fait utiliser l'archive .jar de la traduction de Firefox 1.0.4 pour la version 1.0.5. Il n'y a aucun changement dans les chaines présentes. Néanmoins ce n'est pas une manip forcément évidente vu qu'il faut également faire quelques autres modifs pour que ça fonctionne.
        Mozilla n'utilise pas gettext pour la traduction. Tout est fait via des entités dans des fichiers XML ou des .properties. Il n'est donc pas possible d'avoir des chaînes non traduites sous peine de provoquer une erreur XML.
        • [^] # Re: Version française

          Posté par  . Évalué à 5.

          Donc tu es en train de nous dire que Mozilla ne fait pas dans les standards (gettext) et préfère utiliser une solution XMLàlamode de chez eux ?

          Je ne sais pas si l'avenir me donnera tort ou pas, mais j'ai un peu l'impression que Firefox est un peu une usine à gaz, il n'y a qu'à voir le nombre de fois incalculable où j'ai vu l'affichage du « XML Parsing error » en rouge au lieu de la zone de navigation, suite à de petites manipulations théoriquement sans importance (genre installer une extension depuis le site officiel, etc.).

          Enfin bon, on doit encore être loin du bordel que semble être OpenOffice.org, donc tout n'est peut-être pas encore perdu.

          Au fait, quelqu'un sait pourquoi le binaire Windows de Firefox est presque 2 fois plus petit que celui pour Linux ?
          • [^] # Re: Version française

            Posté par  . Évalué à 4.

            Le binaire d'installation je suppose ?
            Il est plus petit car ils utilisent 7zip pour la compression... Et 7zip ne permet pas de créer des archives auto extractibles sous linux, donc 7zip c'est que pour windows :/
      • [^] # Re: Version française

        Posté par  (site web personnel) . Évalué à 6.

        Oui ! gettext quoi
        • [^] # Re: Version française

          Posté par  . Évalué à 1.

          Voila, c'est ce que je voulais entendre :)
          • [^] # Re: Version française

            Posté par  . Évalué à -3.

            zut, ma version arabo-thaïlandaise n'est pas encore dispo!

            enfin, soit faut être angleu, soit faut être français pour avec un paquet sûr.

            ce ptit intermède pour demander:
            qu'en est-il des autres langues?

            la localisation française est la seule à la masse ou c'est pareil pour la planète entière?

            L'esperento? une solution à ce problème? héhé
    • [^] # Il n'y aura pas de version française 1.0.5

      Posté par  . Évalué à 2.

      Bon, pour calmer les esprits, la version française de Firefox 1.0.5 est prête depuis quelques jours. Elle va arriver incessamment.

      Il n'y aura pas de version française 1.0.5.
      Pour le moment, les versions 1.0.5 de Firefox et de Thunderbird sont seulement disponibles en anglais (en-US).
      Aucune version localisée n'a été placée en ligne, et les équipes de traduction ont reçu comme conseil de ne plus travailler sur les versions 1.0.5. Il semble que ces versions 1.0.5 localisées seront complètement sautées, et que les prochaines versions non anglaises seront 1.0.6.
  • # Propagation des M.A.J

    Posté par  . Évalué à 3.

    En lisant les post précédents sur les envies pressantes de certains pour avoir la version localisée au plus vite... je me suis posé la question suivante:

    Est-ce que Mozilla (via les user-agent sur certaines pages ou les acces sur l'extension room par exemple) a une idée de la "vitesse" de propagation d'une release stable ou d'une mise-à-jour sécurité ?

    Si oui quel serait par exemple le délai pour qu'un patch d'une faille très critique soit appliquée à 80% des naviguateurs ff ?
  • # thunderbird 1.0.5

    Posté par  . Évalué à 3.

    > ...si une mise à jour de sécurité 1.7.9 de la suite Mozilla est annoncée (...), rien n'a été publié pour Thunderbird.

    Vu sur le journal de Tristan Nitot (mercedi 13 juillet 2005 - 20h01) :

    " Encore quelques heures à patienter pour avoir Thunderbird 1.0.5, dont la sortie est prévue pour ce soir (...) "

    Standblog Tristan Nitot : http://standblog.org/(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.