Une faille importante de sécurité a été découverte sur Mozilla et Firefox.
La faille permet à un site ne disposant pas de certificat valide de faire croire qu'il en a un. Elle permet aussi d'écraser les certificats racines du navigateur.
Plus d'infos:
http://mozillazine-fr.org/archive.phtml?article=5089(...)
http://www.mozillazine.org/talkback.html?article=5089(...)
http://bugzilla.mozilla.org/show_bug.cgi?id=253121(...)
http://bugzilla.mozilla.org/show_bug.cgi?id=249004(...)
Pour l'instant, le CVS est corrigé, les dév de Mozilla se demandent encore s'il vont publier un patch ou faire une nouvelle release.
Versions touchées: Mozilla 1.6x, 1.7x - Firefox 0.9x
Je suis étonné que cette info passe inaperçue, la faille me semble pourtant être critique.
PS: j'ai posté l'info, mais elle est en attente de modération depuis hier.
# merchi
Posté par TImaniac (site web personnel) . Évalué à 2.
Heuresement nous n'avons pas un naviguateur encore trop répandu, celà limite le nombre d'"exploitation" de failles possibles;
De plus merci à l'équipe de Mozilla pour sa forte réactivité... reste que il faut sortir un patch, parcque sur le CVS ca n'aide pas beaucoup le newbie de base...
Un petit bémol quand même : c'est moi où bientôt on aura autant de bulletin d'alerte pour mozilla que pour IE ??
[^] # Re: merchi
Posté par Lawrence P. Waterhouse (site web personnel) . Évalué à 4.
Ca ça n'est pas trop grave. Ce qui serait grave si on avait le même rythme de corrections.
[^] # Re: merchi
Posté par TImaniac (site web personnel) . Évalué à 5.
[^] # Re: merchi
Posté par Zorro (site web personnel) . Évalué à 4.
Ou sur un bûcher.
[^] # Re: merchi
Posté par TImaniac (site web personnel) . Évalué à 2.
[^] # Re: merchi
Posté par chl (site web personnel) . Évalué à 2.
Ou sur un bûcher.
Pourquoi ? Parce qu'il a osé dire que Mozilla pouvait contenir des bugs ?
BLASPHEME !!!
Non mais c'est pas fini votre masturbation collective devant Mozilla ? C'est vrai quoi, Mozilla c'est tres bien, mais comme tous les softs ya des bugs ...
Et si, comme le disait TImaniac, des personnes trouvent plus de bugs, ca serait tres bien.
[^] # Re: merchi
Posté par Conrad . Évalué à 0.
Le discours change un peu quand des failles pointent le bout de leur nez, même s'il a toujours été dit (un peu en l'air) que n'importe quel programme avait des bugs (mais aussi que mozilla était mieux programmé donc plus sécurisé).
Bref, même si on est encore loin en terme de nombre de failles, au final il reste surtout la vitesse de correction des failles ...
[^] # Re: merchi
Posté par plagiats . Évalué à 3.
[^] # Re: merchi
Posté par TImaniac (site web personnel) . Évalué à 2.
Et puis franchement l'engueule pas, j'ai bien aimé sa réplique, parcque franchement je l'avais bien cherché ;)
Zorro est arrivé...
[^] # Re: merchi
Posté par chl (site web personnel) . Évalué à 2.
C'est pas exactement ce que j'ai dit.
J'ai dit :
Et si, comme le disait TImaniac, des personnes trouvent plus de bugs, ca serait tres bien.
Ce que je pourrais aussi dire :
Et si, comme le disait TImaniac, des personnes trouvent plus de bugs, (a partir de la c'est mon point de vue) ca serait tres bien.
D'ailleurs je vois pas pourquoi ca serait mal de trouver des bugs dans Mozilla, cela ne ferait que l'ameliorer.
[^] # Re: merchi
Posté par TImaniac (site web personnel) . Évalué à 2.
[^] # Re: merchi
Posté par Thomas Douillard . Évalué à 5.
Je te mets en garde contre l'emploi de cette expression qui peut sembler anodine mais qui peut être étonament trollogène sur ce site (et ailleurs)
---------->[]
[^] # Re: merchi
Posté par Olivier Serve (site web personnel) . Évalué à 2.
Cette expression sert à dire 'Je t'ai tapé sur la gueule sans raison, je m'auto-flagelle et on est quitte'.
Autrement dit 'Désolé'.
Alors que pour trouver un lien sémantique entre 'Au temps pour moi' (que je n'ai jamais lu dans un livre du reste) et 'Désolé' ...
[^] # Re: merchi
Posté par Ramso . Évalué à 2.
[^] # Re: merchi
Posté par par . Évalué à 1.
[^] # Re: merchi
Posté par jcs (site web personnel) . Évalué à 1.
[^] # Re: merchi
Posté par Zorro (site web personnel) . Évalué à 2.
Pas si sûr... Il me semble avoir lu je ne sais plus trop où que moins de 20% venait de Netscape.
# Annonce du problème
Posté par Seazor . Évalué à 2.
http://linuxfr.org/~poltuiu/14609.html(...)
J'ai pas l'habitude de ce genre de choses, donc je ne peux pas juger.
Mais pour vous, 2 semaines, c'est long ou rapide pour corriger ce genre de chose ?
[^] # Re: Annonce du problème
Posté par Ph Husson (site web personnel) . Évalué à 2.
Mais par rapport aux logiciels proprios c'est relativement rapide ;)
(Comme vous le remarquez tout est relatif )
[^] # Re: Annonce du problème
Posté par gros_rouge . Évalué à 3.
Pas tout à fait. Ce sont deux failles différentes. La première, celle que tu exposes dans ton journal, causait un DoS. Celle dont il est question ici est du type spoofing. Ces deux failles on été corrigées le même jour cependant.
« Mais pour vous, 2 semaines, c'est long ou rapide pour corriger ce genre de chose ? »
La première vulnérabilité a été découverte il y un mois (29 juin 2004). En ce qui concerne le "temps de réaction", je n'en sais rien. Je ne suis pas informaticien, encore moins expert en sécurité informatique, mais la faille la plus critique à mes yeux (la 2nde) a été corrigée très rapidement (moins de 48 heures).
Fab.
[^] # Re: Annonce du problème
Posté par DPhil (site web personnel) . Évalué à 1.
Pour ce qui est de la correction, je trouve que c'est relativement long, mais n'oublions pas que nous sommes au mois de juillet.
[^] # Re: Annonce du problème
Posté par gros_rouge . Évalué à 2.
ps : Pourrais-tu par la même occasion rajouter le ' t ' manquant dans ma phrase : « Ces deux failles ont été corrigées (...) » Je n'avais pas retiré mes moufles ;-) Merci.
Fab.
[^] # Re: Annonce du problème
Posté par DPhil (site web personnel) . Évalué à 2.
ps : Pourrais-tu par la même occasion rajouter le ' t ' manquant dans ma phrase : « Ces deux failles ont été corrigées (...) » Je n'avais pas retiré mes moufles ;-) Merci.
J'aimerais bien pouvoir corriger, mais je ne suis pas admin sur ce site.
# la dépêche passera en même temps que le patch sortira :-)
Posté par zebul666 . Évalué à 1.
mais bon les modéro la feront passer quand le patch sera sortie et qu'elle ne sera plus vraiement d'actualité ! :-)
ou alors ils sont tous en vacances !
[^] # Re: la dépêche passera en même temps que le patch sortira :-)
Posté par Zorro (site web personnel) . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.