Nouvelles failles de sécurité de Mozilla et Firefox

Posté par  (site web personnel) . Modéré par Florent Zara.
Étiquettes :
0
9
août
2004
Mozilla
Mozilla (<=1.7.1) et Firefox (<=0.9.2) sont victimes de deux failles importantes de sécurité.
Un code malveillant permet de faire croire qu'un site possède un certificat de sécurité alors qu'il n'en a pas.

Plus grave, un attaquant peut écraser les certificats racines de l'autorité de certification.

Ces deux bugs ont été corrigés dans les sources mais il n'existe pas encore de version compilée disponible pour le public. L'équipe Mozilla ne sachant pas encore si elle doit faire une nouvelle version ou distribuer un patch. (NdM : a priori, pour ce qui est de Firefox, il n'y aura pas de nouvelle version avant la 1.0rc1 prévue pour le 10 août.)

Mise à jour : Firefox 0.9.3, Mozilla 1.7.2 et Thunderbird 0.7.3 sont sortis officiellement. (voir les problèmes de sécurité corrigés). Merci à EppO pour l'information.

Aller plus loin

  • # First Post ?

    Posté par  (site web personnel) . Évalué à -8.

    s/0.92/0.9.2

    A voir aussi (sur ./) la faille qui permet à un site de "spoofer" l'interface XUL de Mozilla ou de Firefox et permettre de faire croire, par exemple, que la connexion est sécurisée ...

    Article sur ./ :http://it.slashdot.org/article.pl?sid=04/07/31/0037210&tid=154&(...)

    Voir ceci pour un exemple de spoof de l'interface XUL (cliquer sur View the spoof that mimics the interface of Firefox versions 0.9.0 - 0.9.2):http://www.nd.edu/~jsmith30/xul/test/spoof.html(...)
    • [^] # Re: First Post ? t'es sûre que c'est intéressant ?

      Posté par  (site web personnel) . Évalué à 3.

    • [^] # Re: First Post ?

      Posté par  (site web personnel, Mastodon) . Évalué à 4.

      Je précise que DLFP ne sert pas qu'à offrir, via les commentaires, un espace d'expression aux lecteurs de /.

      DLFP possède *aussi* son système de news qui est *parfois* plus rapide : http://linuxfr.org/2004/07/29/16929.html(...)

      Le tout est aggrémenté de forums, de journaux, d'un système de vote dees commentaires qui sert principalement à servir de trol..sujet aux journaux et aux fora, bref linuxfr c'est aussi très bien, c'est en français, mangez-en...

      ...

      C'est vrai que je devrais peut-être aller dormir, comment avez-vous deviner ?

      Mes livres CC By-SA : https://ploum.net/livres.html

      • [^] # Re: First Post ?

        Posté par  . Évalué à 5.

        Est il super important de dire que linuxfr est *parfois* plus rapide ?
        linuxfr est surtout 42 fois plus joulie graphiquement et apporte une
        meilleure qualité de lecture
        • [^] # Re: First Post ?

          Posté par  (site web personnel) . Évalué à 0.

          ce qui m'a fait fuir de /. à chaque fois que j'y suis allé (vous comprendrez à mon XP pourquoi je m'y suis intéressé ;-) )
    • [^] # Spoofing et FUD

      Posté par  . Évalué à 5.

      moi je vois pas vraiment de faille dans le spoofing : beaucoup de site font l'amalgame, toi aussi. Rappelons leur qu'en deux lignes de VB, on peut enregister un iexplore.exe de son cru et faire n'importe quoi ...

      C'est le même problème qu'un faux gestionnaire de login qui mémoriserait d'abord ton mot de passe avant d'effectivement ouvrir ta session.

      Ce n'est pas une faille en soi.
      • [^] # Re: Spoofing et FUD

        Posté par  . Évalué à 1.

        note que (pas de bol) ton exemple est foireux car, sous XP en tout cas, tu ne peux *pas* modifier iexplore.exe: après qques secondes il est automatiquement restauré par l'OS (et ce même si les options de restauration auto du système son désactivées ).
        • [^] # Re: Spoofing et FUD

          Posté par  . Évalué à 5.

          tu ne peux *pas* modifier iexplore.exe: après qques secondes il est automatiquement restauré par l'OS

          Ca se contourne relativement facilement. Soit en bootant en mode sans echec, soit en le remplacant pendant la boot phase de windows. Personellement le nombre de truc qui se restaurent automatiquement que j'ai giclé de mes Windows XP (Messenger, Outlook, MediaPlayer pour ne citer que les plus célèbres).
          Par contre l'autorestore est une fonctionnalité géniale pour les auteurs de virus... Certains spywares s'en servaient avant le SP1, je ne sais pas si c'est encore valable.

          Kha
          • [^] # Re: Spoofing et FUD

            Posté par  (site web personnel) . Évalué à -2.

            l'autorestore me fait bien rire!!!

            Il suffit d'aller corrompre le fichier et son bacup en clair (non crypté ou compressé!!!) dans c:\windaube\system32\driver\cache il me semble (le path j'en suis pas sur j'ai pas été tappé dedans depuis des mois...)

            Bon allez on va dire que pour une fois m$ a essayé de mettre en place une protection...
        • [^] # Re: Spoofing et FUD

          Posté par  (site web personnel, Mastodon) . Évalué à 2.

          Et comment sont faites les mises à jour ?
    • [^] # Re: First Post ?

      Posté par  . Évalué à 1.

      Mozilla Firefox: http://www.firefox.fr(...)
  • # FireFox vs IE (Ho, My god)

    Posté par  . Évalué à 1.

    IE n'est plus recommander aux Etat Unis par un obscure organisme (il n'est du tout obscure mais je ne me rappel pas du nom en rentrant de boite à 4h30 du mat). A la place ils recommandaient Mozilla/FireFox, Opera... D'ailleurs Mozilla/FireFox avaient repris un peu de terrain sur IE. Mais avec des annonces de failles ça devient plus chiant niveau crédibilité. Evidement, on ne va pas les cacher à la M$ surtout si elles sont corrigées rapidement. Mais il faut avouer que c'est un peu chiant vis à vis du grand public. Donc tout ça pour dire : tant mieux qu'elles soient trouvées et corrigées rapidement mais fait chier tout de même!
    • [^] # Re: FireFox vs IE (Ho, My god)

      Posté par  . Évalué à 1.

      C'est vrai, j'installe systématiquement Firefox en insistant sur le côté sécurité (car le respect des standards du web n'intéresse personne à part les développeurs) mais l'argument commence à s'effriter.

      Cependant, il ne faut pas oublier que cela reste une "preview technology", espérons que la 1.0 comblera tous ces problèmes.
      • [^] # Re: FireFox vs IE (Ho, My god)

        Posté par  . Évalué à 3.

        espérons que la 1.0 comblera tous ces problèmes.

        Mozilla 1.7 n'est pas une "preview technology", et comporte évidemment la même faille. Même arrivé à la version 1, on pourra aussi trouver des nouvelles failles de ce genre dans FireFox. Ce numéro de version symbolique indiquera juste que le logiciel sera assez mature en général pour une utilisation stable.
      • [^] # Re: FireFox vs IE (Ho, My god)

        Posté par  (site web personnel) . Évalué à 3.

        Comme quoi, la sécurité est en fait un TRÈS mauvais argument. Parce qu'un code sans faille, ça n'existe pas. Et comme il y en aura toujours une qui arrivera à un moment ou l'autre, toi, tu auras l'air tout con.
        Le Libre est une bonne méthode pour découvrir et combler rapidement les failles, c'est sûr, mais c'est pas la panacée.
        • [^] # Re: FireFox vs IE (Ho, My god)

          Posté par  . Évalué à 1.

          Au contraire la sécu est un bon argument

          Vu qu'il y a une réactivité quasi instantannée quant à la résolution du problème et à sa diffusion.

          Sinon concernant ces failles, très peut de sites peuvent l'exploiter - non pas techniquement - mais contextuellement. Je vois mal l'intérêt: les sites d'achats en ligne qui se respectent sont facilement identifiables du fait entre autre de leurs renommés.

          et puis faut relativiser, les failles Mozilla/firefox sont moins graves du moins pour les OS Libres qui sont difficiles à mettre en pièces que celles d'IE qui est une porte ouverte, limite IE vous offre le café pendant qu'il se fait cracké :)


          toutefois ça ne signifie pas qu'il faille prendre ses anonces à la légère
    • [^] # Re: FireFox vs IE (Ho, My god)

      Posté par  . Évalué à 3.

      L'organisme en question c'est le CERT.
      Dernier avis en date (je n'ai pas retrouvé celui où ils conseillent d'utiliser autre chose que IE) : http://www.us-cert.gov/cas/techalerts/TA04-212A.html(...)

      Pour en revenir à la news, je trouve quand même qu'on est très loin de ca : http://iebug.com/(...)
      Ca n'excuse pas tout mais de là à dire que firefox perd en crédibilité.
    • [^] # Re: FireFox vs IE (Ho, My god)

      Posté par  (site web personnel) . Évalué à 4.

      >rentrant de boite à 4h30 du mat

      et tu traines sur dlfp ?

      doit-on comprendre que tu es rentré seul...

      oui bon, je sors
      • [^] # Re: FireFox vs IE (Ho, My god)

        Posté par  . Évalué à -2.

        non, j'ai baisé dans un champs pendant 2 heures sous le clair de lune. Et après on est rentré mais chacun chez soit.
  • # Comment ?

    Posté par  (site web personnel) . Évalué à 4.

    L'équipe Mozilla ne sachant pas encore si elle doit faire une nouvelle version ou distribuer un patch.

    S'ils ne veulent pas perdre en crédibilité, il vaut mieux qu'ils fassent les deux, et rapidement encore !

    Bon, j'arrête de râler : --> http://www.tusors.fr.st/(...)
    • [^] # Re: Comment ?

      Posté par  (site web personnel) . Évalué à 9.

      Sortir des nouvelles releases est lourd, et plus important l'un des 2 patches n'est pas assez testé encore, et, pire, durant sa creation ils ont découvert un autre bug. Donc au final, c'est encore relativement flou.

      Maintenant, ya une branche 1.7.3 et meme 1.4.3 pour mozilla avec les patches, (firefox, la NdM est de moi, donc a priori ya rien, mais j'ai ptet mal regardé) donc une nouvelle version corrigeant ces failles peut sortir d'une minute a l'autre...
  • # Vous arrivez à reproduite le spoof de certificats ?

    Posté par  . Évalué à 0.

    Salut, je n'arrive pas à epxloiter le code fourni sur ECHU

    -----------------------------
    < HTML>
    < HEAD>
    < TITLE>Spoofer< /TITLE>
    < META HTTP-EQUIV="REFRESH" CONTENT="0;URL=https://www.example.com(...)">
    < /HEAD>
    < BODY
    onunload="
    document.close();
    document.writeln('< body onload=document.close();break;>
    < h3>It is Great to Use example's Cert!');
    document.close();
    window.location.reload();
    ">
    < /body>
    ----------------------------------

    Quans je pointe vers un site https et bien... j'y arrive, tout simplement.


    J'ai la configuration suivante :

    Mandrake 10 official
    Firefox 0.9.1 + switchproxy +adblock + user agent switcher

    Pour le test :
    1er test : une page html en local
    2eme test : une page html sur un serveur distant (http of course)

    Quelqun arrive à l'exploiter ?
  • # Logiciel libre, sureté logiciel et la mythologie des balles en argent...

    Posté par  (site web personnel) . Évalué à 6.

    Une fois de plus, il est important de noter que l'argumentaire le plus valide est l'argumentaire de la liberté et non celui de la technique. Le logiciel libre possède quelques avantages complémentaires au logiciel propriétaire sur les questions de sécurité (la *possibilité* d'étudier le logiciel et son code source). Mais cela n'est pas une garantie, la sécurité (sureté) logiciel est une chose difficile par le fait même de la structure et l'architecture des ordinateurs et de la complexité. Il n'existe pas de recettes miracles pour résoudre les vulnérablités mais un ensemble de règles pour *limiter* les risques. Il me semble que certains CSIRTs (comme le CERT(tm)) sont dans les débuts de réflexion sur le sujet alors que le sujet est couvert de plus en plus par la littérature (on peut regarder les écrits de John Viega (http://www.viega.org/(...)) sur le sujet ou les ouvrages comme "Secure Coding" (0-596-00242-4) ou "Exploiting Software" (0201786958)).

    Le logiciel libre aide plus pour la sécurité du logiciel par ses libertés mais n'est pas solution miracle (il ne doit pas en exister puisque ce sont des miracles ;-), Le logiciel libre apporte par ses libertés un outil fabuleux pour s'instruire, évoluer et programmer des logiciels plus sures et permet souvent d'éviter la sécurité par l'obscurité. Le logiciel libre libre est un outil pour améliorer la sécurité par le fait de ses 4 fabuleuses libertés. Ce *n'est pas* l'équation "logiciel libre = sûreté en ingénierie logiciel"...
  • # y en a trop marre ...

    Posté par  . Évalué à -1.

    Ca fait la troisième ou quatrième fois que je vois cette news en tête des dépèches de seconde page ...

    A chaque fois je pense que se sera quelque chose de nouveau ... mais non !

    ca commence a devenir vraiment lourd linuxfr...

    Désolé ... c'était mon coup de gueule du matin.
    • [^] # Re: y en a trop marre ...

      Posté par  . Évalué à 2.

      > Ca fait la troisième ou quatrième fois que je vois cette news en
      > tête des dépèches de seconde page ...

      C'est la deuxième fois. La première, c'était quand elle était neuve, et là, c'est parcequ'elle a été mise à jour pour annoncer les sorties des versions corrigées.

      > ca commence a devenir vraiment lourd linuxfr...

      Faut pas se faire du mal comme ça. Si la consultation de ce site t'est pénible, tu es libre d'arrêter quand tu veux.
  • # Extrait de 01 net

    Posté par  (site web personnel) . Évalué à 2.

    http://www.01net.com/article/249374.html(...)

    >>Les images open source ne sont pas infaillibles

    >>Une série de six failles de sécurité, liées au format d'image open source PNG, >>exposerait les utilisateurs à des intrusions sauvages dans leur ordinateur, >>notamment sous Linux, Windows et Mac OS

    intrusions sauvages dans leur ordinateur :)))

    en plus, j'ai une popup qui surgit et qui indique : "si cette popup s'affiche, ca veut dire que 01net a tord de ne pas faire confiance à l'open source"
    ???
  • # Firefox 0.9.3 en francais

    Posté par  . Évalué à 1.

    Firefox 0.9.3 en francais --> http://www.firefox.fr(...)

    Search plugins: http://firefox.fr(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.