Un chemspill (pour « chemical spill », qu’on peut traduire par « fuite chimique ») est une parution de Firefox ou SeaMonkey faite en dehors du calendrier classique de 6 semaines ou hors calendrier pour Thunderbird. Il est souvent fait à la suite de la découverte d’un bogue sérieux ou d’un problème de sécurité public. Hier, Mozilla a réagi à la découverte d’une vulnérabilité critique en publiant des versions de correction pour toutes les versions des logiciels qu’il supporte.
Il s’agissait de corriger une vulnérabilité de contrefaçon de certificat dans NSS qui a été découverte par deux groupes indépendants de chercheurs (dont un chercheur en sécurité de l’Inria Paris) Elle permet à un attaquant expert de se faire passer pour n’importe quel site. En termes simples, cela signifie que vous pourriez avoir été sur le site de votre banque, sans savoir si c’était votre banque ou un site malveillant se faisant passer pour votre banque. Ce problème dépasse largement le périmètre de Mozilla et touche de nombreux autres projets et produits qui utilisent NSS pour la gestion des certificats.
Vous devez mettre à jour tous vos Mozilla Firefox, Thunderbird et SeaMonkey quelque soit le canal sur lequel vous vous trouvé (Release, Beta, Aurora, Nightly, ESR ; l’item de menu « À propos de » vous l’indique). Les versions corrigées que vous devez faire tourner désormais sont :