FireFoXStory - Firefox 2.0.0.10 corrige la faille jar

mardi 27 novembre 2007

Firefox 2.0.0.10 corrige la faille jar

Désormais Firefox 2.0.0.10 est disponible en téléchargement, toujours sur le serveur FTP de Mozilla. Elle est également disponible en mise à jour automatique.

Petit rappel sur la classification des vulnérabilités chez Mozilla :

Critical: La vulnérabilité peut être utilisée pour exécuter du code malveillant ou installer un logiciel. Cela ne nécessitant aucune action particulière de la part de l'utilisateur.

High: La vulnérabilité peut être utilisée pour recueillir des données sensibles provenant des sites dans d'autres fenêtres ou pour injecter des données ou du code dans ces sites. Cela ne nécessitant aucune action particulière de la part de l'utilisateur.

Moderate: Vulnérabilités qui, autrement, seraient Critical ou High, sauf qu'elles n'arrivent pas dans les configurations par défaut ou elles demandent à l'utilisateur d'effectuer des mesures compliquées ou peu probables.

Low: Failles mineures de sécurité telles que les attaques de déni de service, des fuites légères de données, ou spoofing. (Les attaques indétectables par spoofing ou par SSL auront un degrés "High" car elles sont généralement utilisées pour voler des données sensibles.)

Les 3 failles corrigées par mozilla sont les suivantes :

MFSA 2007-39 Referer-spoofing via window.location race condition
MFSA 2007-38 Memory corruption vulnerabilities (rv:1.8.1.10)
MFSA 2007-37 jar: URI scheme XSS hazard

Elles sont toutes les 3 le statut de High.

Le permier correctif :
Gregory Fleischer a démontré qu'il était possible de générer un faux en-tête HTTP Referer, en exploitant une synchronisation lors de la mise en état de la propriété window.location. Cela pourrait être utilisé pour effectuer une "Cross site Request Forgery" (CSRF) attaque contre des sites Web qui ne compte que sur l'en-tête Referer pour ce proteger de telles attaques.

Le second correctif :

La mise à jour de Firefox 2.0.0.10 contient des correctifs pour trois bugs. Cela permet d'améliorer la stabilité du produit. Ces bugs ont montré des signes de corruption de mémoire dans certaines circonstances, Mozilla présume que, avec assez d'effort, au moins certains d'entre eux pourraient être exploités pour exécuter du code arbitraire.

Le dernier correctif :
Il corrige la faille sur le protocole jar dont nous vous parlions dans l'article traitant de la version 2.0.0.10.

Les notes de versions sont disponibles à cette adresse:
Notes de Version

Pour suivre notre actualité vous pouvez toujours vous abonner à notre flux RSS.

Libellés : développement, Faille, Firefox 2, Mise à jour

4 commentaires:

Je suis fan de Firefox et, sur mon PC à la maison, j'ai un problème récurrent lors des mises à jour sur Windows (sur Ubuntu, la mise à jour des paquets fonctionne).

Le téléchargement automatique s'effectue bien (enfin, il semble) mais, voilà, dès le redémarrage de Firefox, ça plante, il propose de retenter, ça replante, il reretente, ... et c'est sans fin.

Je me demande si c'est un virus ou autre chose ?

Par Anonyme, À 28 novembre 2007 09:48
Bonjour "anonyme" :D je n'ai aucun moyen de te recontacter alors je pense que tu repasseras ici. Concernant ton problème, je ne vois pas de quoi peut venir ton problème. A ta place, je sauvegarderais mon profil Firefox ( voir http://www.geckozone.org/articles/2006/03/06/110-sauvegarder-son-profil ) puis je désinstallerais Firefox, et l'installerais à nouveau proprement, et enfin restauration du profil. Si tu veux contacte moi par email bastoune46[at]gmail[dot]com et surtout, si tu as un codes d'erreur précis, note le.

En espérant avoir pu t'aider...

Bastien.

Par Bastoune46, À 28 novembre 2007 17:06
Merci pour cette réponse !

Depuis, j'ai essayé cela et j'ai toujours le même comportement : vu que je n'ai jamais eu ce problème sur d'autres machines, je pense que cela n'a pas grand chose à voir avec Firefox. Par ailleurs, j'ai constaté depuis d'autres soucis avec l'installation/désinstallation sur Windows et je pense qu'il serait peut-être temps de faire du nettoyage dans mon système...

Bravo pour le site et bonne continuation.

Par Hibou, À 30 novembre 2007 07:59
Merci pour tes encouragements hibou! J'avais déjà eu quelques problèmes moi aussi avec Firefox, aucune extension n'était installable ni désinstallable, il m'a fallu formater (windows, quand tu nous tiens...). Le formatage est pour moi la manière la plus propre de repartir sur de bonnes bases!

Par Bastoune46, À 30 novembre 2007 14:33

Enregistrer un commentaire

<< Accueil

Quoi de neuf dans Firefox et son univers?

mardi 27 novembre 2007

Firefox 2.0.0.10 corrige la faille jar

4 commentaires:

Flux RSS, ne ratez rien!

Préc.

Contributeurs

À propos de


Quoi de neuf dans Firefox et son univers?
mardi 27 novembre 2007 Firefox 2.0.0.10 corrige la faille jar Désormais Firefox 2.0.0.10 est disponible en téléchargement, toujours sur le serveur FTP de Mozilla. Elle est également disponible en mise à jour automatique. Petit rappel sur la classification des vulnérabilités chez Mozilla : Critical: La vulnérabilité peut être utilisée pour exécuter du code malveillant ou installer un logiciel. Cela ne nécessitant aucune action particulière de la part de l'utilisateur. High: La vulnérabilité peut être utilisée pour recueillir des données sensibles provenant des sites dans d'autres fenêtres ou pour injecter des données ou du code dans ces sites. Cela ne nécessitant aucune action particulière de la part de l'utilisateur. Moderate: Vulnérabilités qui, autrement, seraient Critical ou High, sauf qu'elles n'arrivent pas dans les configurations par défaut ou elles demandent à l'utilisateur d'effectuer des mesures compliquées ou peu probables. Low: Failles mineures de sécurité telles que les attaques de déni de service, des fuites légères de données, ou spoofing. (Les attaques indétectables par spoofing ou par SSL auront un degrés "High" car elles sont généralement utilisées pour voler des données sensibles.) Les 3 failles corrigées par mozilla sont les suivantes : MFSA 2007-39 Referer-spoofing via window.location race condition MFSA 2007-38 Memory corruption vulnerabilities (rv:1.8.1.10) MFSA 2007-37 jar: URI scheme XSS hazard Elles sont toutes les 3 le statut de High. Le permier correctif : Gregory Fleischer a démontré qu'il était possible de générer un faux en-tête HTTP Referer, en exploitant une synchronisation lors de la mise en état de la propriété window.location. Cela pourrait être utilisé pour effectuer une "Cross site Request Forgery" (CSRF) attaque contre des sites Web qui ne compte que sur l'en-tête Referer pour ce proteger de telles attaques. Le second correctif : La mise à jour de Firefox 2.0.0.10 contient des correctifs pour trois bugs. Cela permet d'améliorer la stabilité du produit. Ces bugs ont montré des signes de corruption de mémoire dans certaines circonstances, Mozilla présume que, avec assez d'effort, au moins certains d'entre eux pourraient être exploités pour exécuter du code arbitraire. Le dernier correctif : Il corrige la faille sur le protocole jar dont nous vous parlions dans l'article traitant de la version 2.0.0.10. Les notes de versions sont disponibles à cette adresse: Notes de Version Pour suivre notre actualité vous pouvez toujours vous abonner à notre flux RSS. Libellés : développement, Faille, Firefox 2, Mise à jour publié par Amau96 à 17:35 4 commentaires: Je suis fan de Firefox et, sur mon PC à la maison, j'ai un problème récurrent lors des mises à jour sur Windows (sur Ubuntu, la mise à jour des paquets fonctionne). Le téléchargement automatique s'effectue bien (enfin, il semble) mais, voilà, dès le redémarrage de Firefox, ça plante, il propose de retenter, ça replante, il reretente, ... et c'est sans fin. Je me demande si c'est un virus ou autre chose ? Par Anonyme, À 28 novembre 2007 09:48 Bonjour "anonyme" :D je n'ai aucun moyen de te recontacter alors je pense que tu repasseras ici. Concernant ton problème, je ne vois pas de quoi peut venir ton problème. A ta place, je sauvegarderais mon profil Firefox ( voir http://www.geckozone.org/articles/2006/03/06/110-sauvegarder-son-profil ) puis je désinstallerais Firefox, et l'installerais à nouveau proprement, et enfin restauration du profil. Si tu veux contacte moi par email bastoune46[at]gmail[dot]com et surtout, si tu as un codes d'erreur précis, note le. En espérant avoir pu t'aider... Bastien. Par Bastoune46, À 28 novembre 2007 17:06 Merci pour cette réponse ! Depuis, j'ai essayé cela et j'ai toujours le même comportement : vu que je n'ai jamais eu ce problème sur d'autres machines, je pense que cela n'a pas grand chose à voir avec Firefox. Par ailleurs, j'ai constaté depuis d'autres soucis avec l'installation/désinstallation sur Windows et je pense qu'il serait peut-être temps de faire du nettoyage dans mon système... Bravo pour le site et bonne continuation. Par Hibou, À 30 novembre 2007 07:59 Merci pour tes encouragements hibou! J'avais déjà eu quelques problèmes moi aussi avec Firefox, aucune extension n'était installable ni désinstallable, il m'a fallu formater (windows, quand tu nous tiens...). Le formatage est pour moi la manière la plus propre de repartir sur de bonnes bases! Par Bastoune46, À 30 novembre 2007 14:33 Enregistrer un commentaire << Accueil	Flux RSS, ne ratez rien! Préc. Test nouveaute Firefox 3.0 : affichage FTP Firefox 3.0 Beta 1 à telecharger [pour du vrai!] Firefox 2.0.0.10 en phase de test Firefox 3.0 Beta ne sera pas excempt de bugs Télécharger Flock 1.0 final, le navigateur social Prism disponible pour Mac et Linux Firefox 2.0.0.9 prêt a être téléchargé Songbird 0.3 Developer Pre-release est disponible Prism l'avenir des applications Web selon Mozilla Extend Firefox : concours d'extensions Contributeurs Amau96 Bastoune46 À propos de Actualité, Firefox, dossiers, comparatifs, extensions, thèmes, téléchargement.