Faille Mozilla, Firefox, Thunderbird sous windows
Bonjour tout le monde,
Une faille sérieuse a été découverte sous Mozilla jusqu'à la version 1.7.0 inclue, Firefox version 0.9.1 inclue et le client email Thunderbird (version 0.7.1 inclue).
Voir l'article
Les correctifs
Merci à Damon pour l'info, qui n'a pas pu poster le sujet vu qu'il n'a pas accès au nouveau serveur
Une petite précision sur la faille :
Lorsque l'on demandait à Mozilla d'utiliser un protocole de communication inconnu par celui -ci comme certains flux de vidéo, flux de données...., il transmaittait celui-ci a un composant de MS Windows. La faille ne vient non pas de Mozilla, mais du session handler. C'est d'ailleurs pour cela que la faille n'est présente que sous MS Windows, et non pas sur Linux, *BSD, MacOS... Le correctif consiste donc juste à desactiver cette fonctionnalité.
Parfaitement d'accord Mouquiette. Par contre je ne sais pas pour quelle raison Mozilla avait prévu d'utiliser le shell de Windows.
J'ai fait un petit résumé ici :
http://www.futura-sciences.com/sinformer/n/news3985.php
Cette actualité était restée en sommeil depuis le 9 où je l'avais rédigée, pour raison de manque de disponibilité de certains membres de l'équipe de Futura, ce qui est parfaitement compréhensible. Peu de gens se rendent compte du boulot qu'il y a dans les coulisses.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
L'utilisation de ce handler permet(tait) de pouvoir utiliser des flux inconnus par mozilla.
Supposons par exemple que l'on clique sur un lien contenant un fichier de type abc (nouveau format video). Mozilla regarde dans la liste des flux qu'il connait :
- c'est du HTML ? : non
- c'est du XHML ? : non
- c'est du ... ? non.
Une fois qu'il a vu qu'il ne savait pas ce que c'etait, il demande au shell Windows (qui est sensé savoir qui fait quoi dans l'ordinateur) s'il ne connait pas un truc de type abc. Windows va lui répondre : bien sur, ca s'ouvre avec le très bon player VLC, qui sait quasiment tout lire et qui est sous GNU/GPL.
La dessus, Mozilla, tout content envoye le flux à VLC, qui lit la vidéo, pour la plus grande joie de l'internaute.
Ce qui me plait le plus là dedans, c'est la rapidité à laquelle le correctif est arrivé, surtout venant du monde du libre. Des sociétés commerciales (non pas de noms, tout le monde sait de qui parler) devraient largement s'en inspirer!!
Je me demande quand même si le nombre de failles découvertes pour chaque logiciel ne serait pas proportionnel au nombre d'utilisateurs de ce logiciel. Mozilla a de plus en plus d'adeptes, on découvre de nouvelles failles...
En tout cas, merci pour l'annonce.
Je serais passé à coté sinon.
Stéphane, Firefoxien
Je pense que c'est en partie vrai. Par exemple dans un autre domaine, depuis qu'Internet se développe à la vitesse qu'on sait et que les exigences de sécurités sont de plus en plus grandes, on découvre régulièrement des failles dans les routeurs Cisco, qui sont les plus célèbres routeurs de réseau.Je me demande quand même si le nombre de failles découvertes pour chaque logiciel ne serait pas proportionnel au nombre d'utilisateurs
Mais pour en revenir aux navigateurs, la double difficulté à laquelle se heurte Microsoft, c'est que le navigateur est réellement intégré dans le système d'exploitation au lieu d'être un programme comme un autre (cela doit rendre certains problèmes de correction inextricables), et que d'autre part il veut en faire plus grâce à des solutions propriétaires (les ActiveX étant la principale, ainsi que le langage de script Microsoft qu'on retouve un peu partout dans des versions voisines : Vbscript, Windows Scripting Host).
Dernière modification par JPL ; 12/07/2004 à 23h53.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
La différence entre Mozilla par exemple et Internet Explorer au niveau de la sécurité si mozilla continue sa percée pourrait etre alors dans la vitesse de réponse aux failles et moins sur le nombre de failles découvertes ?
En outre Microsoft a t-il prévue dans son futur windows Longhorn de remedier a ce problème en séparant Internet Explorer du système d'exploitation, pour pouvoir corriger les failles plus rapidement et être donc en mesure de contrer Mozilla?
Tous les pro-Mozilla se sont félicités de la vitesse de correction de la faille citée. Mais dans ce cas ce n'est ni plus rapide ni plus génial que la correction par Microsoft de la faille adodb.stream. Dans les 2 cas la solution a été d'inactiver la fonction.pourrait etre alors dans la vitesse de réponse aux failles
Sauf que dans le cas de Mozilla ce n'est que partiellement de sa faute puisque c'est un appel à un fonction Windows mal protégée.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
C'est vrai que pour le nombre de failles, si plus d'utilisateurs utilisent un même logiciel ils déconvriront forcément plus de failles et je ne pense pas que ces failles puissent être toutes découvertes (la perfection d'un système n'existe pasLa différence entre Mozilla par exemple et Internet Explorer au niveau de la sécurité si mozilla continue sa percée pourrait etre alors dans la vitesse de réponse aux failles et moins sur le nombre de failles découvertes ?
Je n'affirme rien avant d'avoir vu les autres versions alpha de cet OS mais si l'on considère l'évolution des Windows il y a fort à parier qu'Internet sera totalement intégré au système d'exploitation. Par contre il devrait être mieux (ou moins mal ?En outre Microsoft a t-il prévue dans son futur windows Longhorn de remedier a ce problème en séparant Internet Explorer du système d'exploitation, pour pouvoir corriger les failles plus rapidement et être donc en mesure de contrer Mozilla?) intégré dans l'OS et je pense que la sécurité sera vraiment de mise si l'on considère les corrections apportées par le SP2 d'XP. Et puis si Microsoft ne réagit pas en proposant ou en créant des softs mieux conçus niveau sécurité, les utilisateurs commenceront peu à peu à tous s'orienter vers le Libre.
Salut tout le monde,
La faille Mozilla touche également Word et MSN
Je me demande si je dois rire ou pleurer ...Microsoft espère pouvoir proposer un patch pour cette faille ce mois-ci ou le mois prochain.
Pour rappel, le correctif pour Moz est sorti le jour même de la découverte de la faille.
Je rappelle que le "correctif" de Mozilla consiste en fait à désactiver l'appel à la fonction de Windows fautive (je crois qu'il y a juste une ligne à changer dans un fichier de configuration). J'ose espérer que ce sur quoi travaille Microsoft, c'est de réparer cette fonction de Windows, ce qui est un tout autre problème.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Je n'ai aucune idée de la complexité de cette fonction mais annoncé jusqu'à un mois et demi pour corriger une fonction c'est Enorme !
Les pirates vont s'en donner à cœur joie pendant ces vacances.
