Chemspill pour Firefox, Thunderbird, SeaMonkey…
Un chemspill (pour « chemical spill », qu’on peut traduire par « fuite chimique ») est une parution de Firefox ou SeaMonkey faite en dehors du calendrier classique de 6 semaines ou hors calendrier pour Thunderbird. Il est souvent fait à la suite de la découverte d’un bogue sérieux ou d’un problème de sécurité public. Hier, Mozilla a réagi à la découverte d’une vulnérabilité critique en publiant des versions de correction pour toutes les versions des logiciels qu’il supporte.
Il s’agissait de corriger une vulnérabilité de contrefaçon de certificat dans NSS qui a été découverte par deux groupes indépendants de chercheurs (dont un chercheur en sécurité de l’Inria Paris) Elle permet à un attaquant expert de se faire passer pour n’importe quel site. En termes simples, cela signifie que vous pourriez avoir été sur le site de votre banque, sans savoir si c’était votre banque ou un site malveillant se faisant passer pour votre banque. Ce problème dépasse largement le périmètre de Mozilla et touche de nombreux autres projets et produits qui utilisent NSS pour la gestion des certificats.
Vous devez mettre à jour tous vos Mozilla Firefox, Thunderbird et SeaMonkey quelque soit le canal sur lequel vous vous trouvé (Release, Beta, Aurora, Nightly, ESR ; l’item de menu « À propos de » vous l’indique). Les versions corrigées que vous devez faire tourner désormais sont :
- Mozilla Firefox :
- Firefox 32.0.3
- Firefox 33 bêta 7
- Firefox Aurora 24/09/2014 ou postérieur
- Firefox Nightly 24/09/2014 ou postérieur
- Firefox pour Android 32.0.3
- Firefox pour Android 31.1.1
- Firefox pour Android 33 bêta 7
- Firefox pour Android Aurora 24/09/2014 ou postérieur
- Firefox pour Android nuit 24/09/2014 ou postérieur
- Firefox ESR 31.1.1
- Firefox ESR 24.8.1
- Thunderbird 31.1.2
- SeaMonkey 2.29.1 (en cours)
- SeaMonkey 2.30 bêta 1 (prévu pour le début de la semaine prochaine)
Pour Lawrence Mandel de Mozilla, publier tant de mises à jour de produits en une seule journée a été un fantastique tour de force. Cela est d’autant plus impressionnant quand on considère qu’ils ont dû coordonner leur calendrier de sortie avec d’autres compagnies. Il tient à remercier tous ceux qui ont participé à ces sorties avec un remerciement tout spécial pour le contributeur Kai Engert (RedHat).
Bannières de téléchargement direct
Voir aussi notre billet : Mozilla en français : trouver les Nightly à tester – Firefox, Thunderbird, SeaMonkey – versions bêta, Aurora, Nightly…
Participez au programme Affiliates de Mozilla en mettant des bannières sur votre site.
Illustration réalisée par Hervé Renault à partir d’une œuvre de lisaamybeth.
Ce billet fait l’objet d’une publication croisée sur MozillaZine-fr.
Sources et références
- Mozilla :
- MFSA 2014-73: RSA Signature Forgery in NSS
- Security Advisories for Firefox : Fixed in Firefox 32.0.3
- Security Advisories for Thunderbird : Fixed in Thunderbird 31.1.2
- Security Advisories for SeaMonkey : Fixed in SeaMonkey 2.29.1
- Firefox — Notes (32.0.3), 24 sept. 2014
- Thunderbird 31.1.2 Release Notes, 24 sept. 2014
- SeaMonkey :
- SeaMonkey News, SeaMonkey 2.29.1, 24 sept. 2014
- What’s New in SeaMonkey 2.29 : Fixes in 2.29.1