Sortie de Mozilla 1.7.7 et Firefox 1.0.3

Posté par . Modéré par Nÿco.
Tags :
0
19
avr.
2005
Mozilla
Ce vendredi 15 avril des mises à jour de la suite applicative Mozilla et du navigateur Mozilla Firefox sont sorties.

Il s'agit exclusivement de mises à jour de sécurité et notamment le bogue de divulgation de pile mémoire du moteur JavaScript. Il est à noter que le correctif de la suite Mozilla corrige deux bogues de moins que Firefox, il semblerait en effet que seul le navigateur autonome est concerné par ces problèmes.

Pour ceux qui préfèrent utiliser les versions françaises, la version française du nouveau Firefox 1.0.3 a été diffusée sur le système de miroirs de la fondation Mozilla le 16 avril, quant à la suite Mozilla, un fichier XPI de francisation est disponible ainsi qu'une version française complète avec installeur pour Windows.

Aller plus loin

  • # bizarre bizarre

    Posté par (page perso) . Évalué à 4.

    j'ai mit à jour sous Mandrake (urpmi) et maintenant il résoud plus les dns ...

    quand je tapes les ips directes ca marche mais que je passe par un proxy ou pas, il renvoie "site web est injoignable", obligé de forcer l'install de la version d'avant.

    NB: ca le fait que avec le rpm de mandrake, pas avec le tar.gz de mozilla.org
    • [^] # Re: bizarre bizarre

      Posté par . Évalué à 0.

      Salut,
      sur quel arbre ftp t'es-tu branché pour avoir cette mise à jour par urpmi, car perso, j'ai regardé partout sur le ftp.free.fr, dans les dossiers de Mandrake, et je ne l'ai pas vu.
      Même dans devel, ou cooker.

      Merci.
      • [^] # Re: bizarre bizarre

        Posté par (page perso) . Évalué à 0.

        non non c pas la 1.0.3 en fait
        c la 1.0.2 et j'ai réessayé avec le dernier package de cooker mais ca foire quand meme
        • [^] # Re: bizarre bizarre

          Posté par (page perso) . Évalué à 3.

          oui c'est normal si tu as essayé de mixer un package cooker et une 10.1.

          Pour la 2005 LE (la 10.2 quoi...), FireFox est devenu le browser "officiel", ce qui a eu un impact sur les libnss qui étaient auparavant issues de la suite mozilla. Je peux me tromper vu que normalement ça ne devrait avoir un impact que sur les https, mais il me semble que ça gêne aussi côté résolution de nom.

          1ère morale : ne pas prendre de paquets de cooker pour les appliquer sur une stable. ça peut casser des choses. Corrollaire : ça casse des choses ;-)

          2ème morale : ce serait pas mal que les backports soient fait et que la 1.0.3 de FireFox se retrouve automagiquement en 10.1 voire en 10.0 (et même en LE 2005). Faut que je fasse un tour du côté des paquets du club peut-être... (dommage pour des corrections de sécurité... ya un truc que je n'ai pas compris ou à éclaircir).
          • [^] # à quand des packages officiels ?

            Posté par (page perso) . Évalué à 1.

            et pkoi est ce que mozilla ne ferait pas eux meme les packages ?

            ils fournissent un autoinstalleur pourri dans un targz comme les vulgaires applis commerciales ... du coup ca s'installe partout mais ca fout le bordel dans le système de fichier !
            (ca casse le système de mises à jour des packages propres à chaque distrib).

            ca revient à faire un make install barbare

            je pense à d'autres logiciels comme VLC par exemple qui fournit des packages pour pleins de systèmes (meme pour BeOS !)
            • [^] # Re: à quand des packages officiels ?

              Posté par . Évalué à 2.

              ca revient à faire un make install barbare
              heu tu peux choisir le repertoire d'installation et meme l'installer sur ton $HOME.

              Donc c'est de la faute des utilisateurs s'il casse leur distrib...
          • [^] # Re: bizarre bizarre

            Posté par . Évalué à 3.

            > (dommage pour des corrections de sécurité... ya un truc que je n'ai pas compris ou à éclaircir)

            Ben si j'ai bien compris ta demande, oui, il y a un truc que tu n'as pas compris.
            Les versions des logiciels d'une version stable d'une distribution n'évoluent pas (c'est pour ça qu'elle est dite stable). Donc le numero de version de firefox livré avec ta distribs n'évoluera jamais, si c'est la 1.0.1 ben tu resteras en 1.0.1 tant que tu ne passeras pas à une version supérieur de Mandrake. Par contre, les corrections des bugs critiques et failles de sécurité des versions supérieurs du logiciel sont backportées (transposées) dans la version de ta distribution tant qu'elle est supportée. Si par exemple tu es en firefox 1.0.1-8 actuellement, il y a de fortes chances que, dans quelques jours, si ce n'est déjà fait, ta distribution mette à disposition une version 1.0.1-9 qui intégre les corrections introduitent dans la version 1.0.3 de la fondation mozilla.
            • [^] # Re: bizarre bizarre

              Posté par . Évalué à 1.

              Diantre, la grammaire... désolé
            • [^] # Heula !

              Posté par (page perso) . Évalué à 1.

              ils réintègrent les patchs dans l'ancienne branche ?

              ce serait pas plus simple de repartir de la dernière version publiée ?

              ou alors ils considèrent qu'elles a introduit des nouvelles fonctionnalités et qu'elle est pas stable du coup ?

              enfin bon, ca fait un peu bordélique là, si FF sortaient eux meme les packages ca simplifierait tout.
              (d'autant plus que je croit que sous Debian ils patchent tellement FF / mozilla que mozilla.org voudraient qu'ils l'appellent DebianFirefox et plus Mozilla Firefox ... )
              • [^] # Re: Heula !

                Posté par (page perso) . Évalué à 2.

                visiblement oui.

                Après vérification sur ma version en cours dans cooker, le changelog me donne :

                * lun avr 18 2005 Frederic Crozat <fcrozat@mandriva.com> 1.0.2-4mdk

                - Security update to sync with 1.0.3 :
                - Update patch64 with fix for Moz bug #288818
                - Update patch65 with fix for Moz bug #289171
                - Patch66 (CVS): fix showing a blocked popup has chrome privs (Moz bug #289204)
                - Patch67 (CVS): fix XSS attack with getter/setter (Moz bug #289675)
                - Patch68 (CVS): fix link tag allows to execute arbitrary code without user interaction (Moz bug #290036)
                - Patch69 (CVS): fix search plugins can get javascript access to currently active tab (Moz bug #290037)
                - Patch70 (CVS): fix arbitrary code execution via sidebar (Moz bug #290079)
                - Patch71 (CVS): fix crash in xpinstall (Moz bug #290162)
                - Patch72 (CVS): fix privilege escalation via DOM property overrides part1 (Moz bug #289083)
                - Patch73 (CVS): fix privilege escalation via DOM property overrides part2 (Moz bug #289961)
                - Patch74 (CVS): fix regression caused by security fix in 1.0.2 (Moz bug #287459)
                - Patch75 (CVS): fix crash in typeahead (Moz bug #274625)
                - Patch76 (CVS): fix privilege escalation via DOM property overrides part3 (Moz bug #289074)
                - Patch77 (CVS): fix scanner overflow (Moz bug #244177)

                donc c'est bien une 1.0.2 en LE2005 *mais* avec tous les patchs de sécurité (sans doute backportés aussi sur la 10.1 et les versions supportées... même si ça n'a pas l'air d'avoir encore été fait : sur une 10.1 à jour j'ai mozilla-firefox-1.0-0.1.101mdk

                * mer nov 10 2004 Buchan Milne <bgmilne@linux-mandrake.com> 1.0-0.1.101mdk

                - rebuild for 10.1

                ou alors ce n'est tout simplement pas nécessaire de faire les backports dans ce cas précis... bref, faut se palucher les changelogs plutôt que se fier au n° de version (pour les patchs de sécurité en tout cas...). Au moins, de m'être posé la question m'aura fait voir comment ça se passe sur un exemple concret ;-)

                Donc pas les nouvelles fonctionnalités :-( effectivement ça serait plus de boulot et ça ne fonctionnerait pour autant pas dans certains cas avec le jeu des dépendances...

                Après pour ta remarque concernant les équipes de firefox qui devraient fournir une version à jour pour Mdk... hum je suis mitigé. Ils faut quand même qu'ils l'adaptent à chaque distrib'... genre intuiter que le libnspr est maintenant nécessaire c'est pas forcément gagné (pas si dur quand tu connais mais mieux vaut suivre de près la distrib'... et puis après pourquoi pas pour slackware, gentoo, kaella, ubuntu, debian, IPcop, Crux, la liste est longue... cf. http://distrowatch.com(...) ). Et je ne parle pas de le fournir pour d'anciennes versions.

                Et pour l'histoire du Debian FireFox c'est plus une histoire de protection de marque déposée (trademark) qu'autre chose + le fait que uniquement ce qui sort effectivement de la fondation mozilla s'appelle FireFox (déjà le logo n'est pas le même : la terre bleue est conservée pour les paquets des distribs).
                • [^] # Re: Heula !

                  Posté par (page perso) . Évalué à 1.

                  il ya quand meme des distribs plus importantes (en terme de nombre d'utilisateurs que d'autres)
                  par exemple, pour reprendre vlc, ils supportent :
                  Windows Mac OS X BeOS
                  Linux Debian Mandrake Linux Fedora Core
                  Familiar Linux YOPY/Linupy Zaurus
                  SuSE Linux Red Hat Linux WinCE / PocketPC

                  et pourtant vlc dépend de pas mal de packages !

                  et puis, si le nouveau firefox dépend de libnspr, c'est un choix de Mandrake, comment ca se fait que le tar.gz de mozilla.org marche sans cette lib ?

                  enfin c vrai que ca doit aps etre facile quand meme de sortir des packages pour chaque système...
                • [^] # Re: Heula !

                  Posté par . Évalué à 2.

                  > bref, faut se palucher les changelogs plutôt que se fier au n° de version (pour les patchs de sécurité en tout cas...)

                  Le plus simple est de s'abonner à la mailing-list security-announce de sa distribution. (mais bon, ça ne doit pas couvrir cooker)
              • [^] # Re: Heula !

                Posté par . Évalué à 3.

                > ils réintègrent les patchs dans l'ancienne branche ?

                Oui, pour être précis, ils intègrent les patchs dans leur branche (-Xmdk) basé sur une ancienne branche de firefox.

                > ou alors ils considèrent qu'elles a introduit des nouvelles fonctionnalités et qu'elle est pas stable du coup ?

                Ils ne cherchent pas à savoir si la nouvelle version de firefox n'integre que des patchs minimes, car même si c'est vrai pour firefox (je ne sais pas), il y a énormement de ll qui intègrent des corrections de failles dans des versions accompagnées d'une flopée de changements. Pour tous les paquets, la même politique, il extraient les patchs critiques uniquement et les intègrent à leurs propres branches, le but étant que le code de la version stable colle toujours au plus près à ce qu'il était au moment de la release, et cela pour éviter d'introduire de nouveaux bugs. Il n'est pas acceptable qu'une mise à jour au sein d'une version stable entraine des disfonctionnements qui n'existaient pas auparavant.

                > enfin bon, ca fait un peu bordélique là, si FF sortaient eux meme les packages ca simplifierait tout. (d'autant plus que je croit que sous Debian ils patchent tellement FF / mozilla que mozilla.org voudraient qu'ils l'appellent DebianFirefox et plus Mozilla Firefox ... )

                Je vois pas vraiment en quoi c'est bordélique, au contraire, quand tu installes ta distribution, tu sais ce que tu as, tu sais ce qui marche, et a-priori, qui marchera jusqu'a ce que tu upgrades ta distribution. T'es plutot pénard (bon aprés, les geeks n'aiment pas vraiment être pénard, mais dans un contexte professionnel par exemple, c'est absolument necessaire)

                Pour le debian Firefox, le problème n'est pas spécifique à debian et n'a pas grand chose à voir avec la taille du patch. A partir du moment où les binaires fournis ne sont pas strictement ceux de la fondation Mozilla, tu fournis un logiciel dérivé du firefox de la fondation mozilla, qui ne peut alors en garantir la qualité et le support (d'ou l'interdiction d'utiliser le nom mozilla produit, reservé strictement aux produits livrés par la FoMo).
  • # Top of the pop des failles...

    Posté par (page perso) . Évalué à 4.

    Heuu, on ne parle que de la faille de divulgation de pile mémoire du moteur JavaScript, mais pas du "Code execution through javascript: favicons" qui craint pas mal du boudin, pourquoi ?

    Sinon je trouve toujours Firefox moins réactif que Mozilla, peux être a cause de gtk1 vs gtk2 ?
  • # Mozilla 1.7.7

    Posté par . Évalué à 2.

    Frenchmozilla vient de publier Mozilla 1.7.7 pour les plateformes GNU/Linux et Mac OS. À bon entendeur :)
    http://sourceforge.net/project/showfiles.php?group_id=15231&pac(...)
  • # Article lamentable dans PC INpact et The Inquirer

    Posté par . Évalué à 1.

    Je profite de cette dépêche sur Firefox pour vous signaler un article assez hallucinant de mauvaise foi, qui n'a pas été publié dans un journal semble-t'il mais qu'un collègue s'est empressé de m'envoyer par mail :

    "Firefox : Une liste de dix gros problèmes ..."
    http://www.pcinpact.com/actu/news/Firefox_une_liste_de_dix_gros_pro(...)

    Ma réponse au mail :

    "J'ai lu l'article et excusez-moi, mais les arguments font un peu pitié (limite mauvaise foi) !

    - changer le nom Thunderbird (en plus, je croyais que ça ne parlait que de firefox !)
    - il manque un splash screen (no comment).
    - pas d'upload FTP, pas de messagerie instantanée (toutes les fonctionnalités possibles existent grâce aux extensions, firefox de base est volontairement simple)
    - ne pas pouvoir donner son avis comme pour java (rien n'empêche les entreprises intéressées de participer au développement et à son orientation)
    - pas de barre verticale avec des onglets, comme à la bonne époque de Netscape (perso, je ne regrette pas).
    etc ...

    J'ai pas vu un seul argument convaincant, à part peut-être l'utilisation mémoire qui pourrait être commune aux 3 logiciels utilisant la même bibliothèque, mais bon c'était aussi un choix stratégique (faire des logiciels indépendants les uns des autres en opposition à la suite Mozilla).

    Mais comme le dit l'auteur de l'article, ce n'est que mon avis."
    • [^] # Re: Article lamentable dans PC INpact et The Inquirer

      Posté par . Évalué à 2.

      Les multiples gecko chargés en mémoire sont quand même un vrai problème.

      Et ce n'était pas vraiment un choix stratégique, plutôt un choix "faute de mieux". Pour preuve, il est prévu que Mozilla2 résolve le problème en permettant de "partager" un même gecko. AMHA, la suite Mozilla n'aurait d'ailleurs pas dû être éclipsée avant l'arrivée de Mozilla2.
      • [^] # Re: Mozilla2 ?

        Posté par (page perso) . Évalué à 1.

        c'est quoi ca ? je croyait que Mozilla était arrété pour donner la place à Seamonkey, projet indépendant ?
        ou alors ca correspondrait au future des développement de la MoFo ? Firefox 2.x thunderbird 2.x ...

        ce que je trouve dommage dans l'arret de Mozilla, c'est que au début FF n'était qu'une réutilisation de Gecko avec une appli XUL et pareil pour Thunderbird&Co alors que maitnenant, on peut risquer de voir des développement fait spécifiquements pour FF qui faudrait ensuite intégrer dans Nvu ...
        • [^] # Re: Mozilla2 ?

          Posté par . Évalué à 2.

          Mozilla2, c'est pas Mozilla Suite v2, mais la future plateforme qui permettra de faire tourner Firefox, Thunderbird et tous les "produits" gecko sur la même instance. Et justement, les logiciels tiers ne seront donc plus "compatible Firefox", mais compatibles directement avec la plateforme de développement.

          Du moins, c'est ce que j'ai cru comprendre. ;-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.