BlogZiNet

Protéger les utilisateurs contre une vulnérabilité de sécurité dans Java

Mise à jour – 31 août 2012 :

Hier, Oracle a publié un correctif pour les vulnérabilités critiques identifiées dans Java.

Visitez la page Web de vérification des plugins de Mozilla pour savoir si votre plugin Java a besoin d’être mis à jour : https://www.mozilla.org/plugincheck/

Des informations supplémentaires de la part d’Oracle peuvent être trouvées ici : https://blogs.oracle.com/security/entry/security_alert_for_cve_20121

Mise à jour – 29 août 2012 :

Nous avons suivi de près la récente vulnérabilité de sécurité de Java et évalué les différentes options pour mieux protéger nos utilisateurs.

Notre objectif est de fournir une protection aux utilisateurs de Firefox contre cette vulnérabilité exploitée activement dans Java, tout en laissant à l’utilisateur le contrôle afin qu’il puisse choisir d’autoriser Java sur des sites importants auxquels il fait confiance.

Nous élaborons toujours les détails de mise en œuvre, mais notre solution permettra d’atteindre deux objectifs principaux :

1. Par défaut, les versions vulnérables de Java seront désactivées pour nos utilisateurs de Firefox.
2. Les utilisateurs auront la possibilité d’activer Java via un message clair et visible qui sera affiché chaque fois que l’utilisateur consulte une page utilisant Java.

Nous vous fournirons des mises à jour supplémentaires lorsque les items seront finalisés. Entre-temps, nous continuons de conseiller aux utilisateurs de désactiver le plugin Java tel que décrit ci-dessous.

Enfin, à partir de cette semaine dans Aurora et Beta nous allons commencer à ajouter les composants de click-to-play, un dispositif de sécurité de Firefox qui permet de protéger les utilisateurs contre les plugins périmés et vulnérables. Nous prévoyons que cette nouvelle fonctionnalité de sécurité sera pleinement opérationnelle d’ici Firefox 18.

Billet original du 28 août 2012 :

Problème

Mozilla est au courant d’une vulnérabilité de sécurité (CVE-2012-4681) dans la version actuelle de Java 7 (version 1.7, mises à jour de 0 à 6) qui est activement exploitée pour les utilisateurs compromis. Les utilisateurs de Firefox peuvent être vulnérables à ce problème s’ils exécutent le plugin Java dans leur navigateur.

Impact sur les utilisateurs

Un attaquant pourrait exploiter cette vulnérabilité pour télécharger et exécuter des programmes malveillants (malware) sur l’ordinateur d’un utilisateur.

Nous avons reçu des rapports selon lesquels cette vulnérabilité est activement utilisée dans des attaques ciblées et le code malveillant d’exploit est également disponible dans les kits d’exploits communs indiquant que le nombre d’attaques peut augmenter.

État

Actuellement, il n’y a pas de correctif disponible de la part d’Oracle pour remédier à la vulnérabilité dans Java. Nous recommandons aux utilisateurs de désactiver le plugin Java dans Firefox afin de s’assurer qu’ils sont protégés contre cette vulnérabilité.

Les étapes pour désactiver le plugin Java peuvent être trouvées ici : http://support.mozilla.org/fr/kb/Comment désactiver les applets Java.

La mise à jour de juin 2012 des Java Development Kit (JDK) et Java Runtime Environment (JRE) comprend un patch pour corriger une vulnérabilité critique qui peut permettre le chargement de code arbitraire sur l’ordinateur d’un utilisateur final.

Cette vulnérabilité – présente dans les versions les plus anciennes du JDK et du JRE – est activement exploitée et représente un risque potentiel pour les utilisateurs. Pour atténuer ce risque, nous avons ajouté les versions affectées du plugin Java (Version 6 Update 32 et antérieures ainsi que la Version 7 Update 4 et antérieures) à la liste de blocage de Firefox.

Mozilla encourage fortement tous ceux qui ont besoin des JDK et JRE Java de mettre à jour vers la version actuelle dès que possible sur toutes les plateformes.

Les versions affectées du plugin Java seront désactivées, sauf si un utilisateur fait le choix explicite de laisser activer au moment où il est avisé que le blocage doit être appliqué. Si le blocage est accidentellement accepté, le plugin peut être activé à nouveau dans le gestionnaire de modules complémentaires, dans le panneau « Plugins ».

Des versions à jour du JRE pour systèmes d’exploitation Windows et Linux sont disponibles par le biais de java.com. Les utilisateurs de Mac OS X peuvent mettre à jour vers la dernière version en utilisant l’utilitaire de mise à jour logicielle Software Update.

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

Je rappelle que si vous n’utilisez pas Java très régulièrement, je vous conseille de désactiver le plugin Java (menu unique Firefox > Modules complémentaires > panneau Plugins > désactiver tout ce qui s’appelle Java…) et de le réactiver en cas de besoin. N.B. : Ne pas confondre Java et JavaScript directement interprété par le navigateur.

Maintenant que Firefox 14.0.1 est sorti, regardons du côté de Firefox 15 qui vient de glisser dans le canal de développement bêta et qui devrait sortir en version finale le 28 août prochain.

Pour tous, cette version 15 de Firefox verra d’importantes améliorations de la consommation de mémoire. Firefox bêta optimise l’utilisation de la mémoire par les modules complémentaires. C’est un des résultats du projet MemShrink. Les utilisateurs de Firefox noteront une réduction de l’utilisation de la mémoire lors de l’utilisation des modules complémentaires et lors de longues sessions de navigation. Voyez les billets référencés ci-dessous pour plus d’informations sur le sujet.

Les bêta-testeurs pourront quant à eux essayer la prise en charge native des PDF. Firefox bêta dispose désormais du support natif des PDF dans le navigateur (sans avoir besoin de plugin). L’annonce dans le blog des versions futures de Firefox insiste bien sur le fait que c’est une fonctionnalité expérimentale. Il vous propose de la tester et d’en rapporter les bogues. Il précise qu’il faut s’attendre à plus dans de futures versions.

Pour les développeurs Web, cette version bêta est aussi un bon cru. La liste des outils pour développeurs Web intégrés s’allonge avec un débogueur JavaScript et un mode Responsive Design qui permet aux développeurs d’afficher et de tester leurs sites Web avec de nombreuses tailles d’écran sans avoir à quitter leur navigateur. Pour davantage d’informations sur les outils pour développeurs introduits dans Firefox 15, voyez l’article de Mozilla Hacks rédigé lors de son passage dans le canal Aurora avec des captures d’écran. Les développeurs apprécieront également les améliorations de WebGL et du moteur JavaScript. La propriété CSS word-break a été implémentée et, parmi les améliorations du HTML5, le support natif du codec audio Opus a été ajouté. Consultez les notes de diffusion de Firefox 15 bêta pour plus de précisions.

MÀJ : Une version 11.4 de Flash Player disponible dans les labos d’Adobe semble régler le problème de non affichage dans Windows 7 apparu avec Flash 11.3. Attention ! C’est encore une version bêta…

MÀJ 2 : La version 11.4 de Flash Player est disponible en version finale.

À l’heure où Flash est devenu incontournable sur le Web notamment pour y regarder des vidéos, la version 11.3 du plugin d’Adobe était censée apporter sur Firefox (pour Windows) un mode « bac à sable » permettant d’exécuter les contenus avec plus de sécurité. Cependant de nombreux utilisateurs de Firefox ont eu du mal à en profiter du fait de plantages et de non-exécutions de cette nouvelle version de Flash Player, alors que la même version pour Internet Explorer fonctionne sans problème.

Aussi bien Mozilla qu’Adobe ont déjà mis en ligne de nouvelles versions de leur applications respectives. Ces versions annoncent corriger des bogues relatifs à ces dysfonctionnements. Si vous rencontrez des problèmes avec Flash, vérifiez que vous avez bien les dernières versions d’Adobe Flash Player et de Mozilla Firefox.

Cependant, comme je l’ai moi-même remarqué avec des installations sur Windows 7, tout n’est pas réglé. La seule solution que j’ai trouvée c’est de revenir à la version 11.2 de Flash. Mais comme ce n’est pas une réponse sûre, regardons d’abord les solutions de contournement alternatives.

Mozilla a, en toute première analyse, bloqué l’extension livrée avec Real Player (pas le plugin servant à lire les vidéos dans Firefox) « RealPlayer Browser Record » pour télécharger les vidéos dans les animations Flash. Une nouvelle mise à jour de sécurité 15.0.5.109 annonce une amélioration de la compatibilité avec Firefox. Tentez donc de « vérifier les mises à jour » depuis le menu « Real Player ». Si le problème se pose toujours après ou que vous avez réactivé ou installé Real Player après la mesure de blocage de Mozilla, suivez les étapes proposées en français par le site d’assistance de Firefox.

Vous pouvez aussi vérifier si le problème vient d’un module complémentaire. Firefox dispose d’une commande pour « redémarrer avec les modules désactivés… » dans le sous-menu « Aide » du menu unique « Firefox ». Si le problème n’apparaît plus en mode sans échec, activez le modules un par un jusqu’à ce que vous trouviez le module qui pose problème.

De son côté, Adobe indique dans un document en anglais que si Flash Player plante quand vous allez en mode plein écran d’une vidéo c’est sûrement dû à une carte graphique obsolète ou un pilote périmé. Vous devez alors désactiver l’accélération matérielle de Flash Player et vérifier si Flash plante en mode plein écran.

La page de l’aide de Firefox « Flash 11.3 plante » vous indiquera comment désinstaller Flash 11.3 avant de réinstaller un version 11.2 qui ne pose pas de problème. Toutefois, ce retour en arrière doit être fait en considérant les risques pris en installant une version qui ne contient pas tous les correctifs de sécurité disponibles. Téléchargez Flash Player 11.2.202.235 et installez sur Windows le fichier « flashplayer11_2r202_235_win_32bit.exe » du dossier « 11_2r202_235_32bit ».

Restez à l’affût des mises à jour de Firefox et de Flash Player (testez régulièrement vos plugins grâce à Mozilla).

Dans la saga des plugins ajoutés à la liste de blocage de Firefox, voici maintenant le plugin Acrobat Reader d’Adobe sur Mac OS X. À ne pas confondre avec son célèbre cousin, le plugin Flash d’Adobe pour afficher les animations (comme les publicités ou les vidéos), le plugin Adobe Acrobat Reader (ou plus simplement Adobe Reader) affiche lui les documents au format PDF. Le blog d’AMO donne plus de précisions :

Le plugin Adobe Acrobat Reader cause actuellement des problèmes à la plupart des utilisateurs de Mac OS X qui l’ont installé. Dans la majorité des cas, le plugin affiche une page blanche quand un utilisateur clique sur un lien vers un fichier PDF. Il y a également des rapports de plantage lors de l’utilisation du plugin en mode 32 bits. Pour cette raison, nous avons décidé d’ajouter le plugin à la liste de blocage.

Les utilisateurs de Mac OS X qui ont installé ce plugin seront invités à le désactiver dans les prochaines 24 heures. Vous aurez la possibilité de le laisser activé, et, même si vous le désactivez lorsque vous y êtes invité, vous aurez la possibilité de le réactiver dans le gestionnaire de modules complémentaires. Nous ne bloquons pas le plugin Adobe Flash, seulement le plugin Adobe Acrobat NPAPI.

Nous travaillons actuellement avec Adobe pour qu’une version corrigée sorte bientôt. Nous publierons une mise à jour sur ce blog quand ça arrivera.

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

Vivement que le projet d’inclure un lecteur PDF dans Firefox arrive à maturité. Le lecteur PDF des Mozilla Labs PDF.js qui utilise les technologies standard du Web est une approche intéressante pour fournir un lecteur PDF multiplateforme intégré.

Java est un langage de programmation multiplateforme qui est utilisé dans les navigateurs Web pour programmer des applications riches comme des jeux ou des gestionnaires de fichiers. L’exécution de ces programmes nécessite l’installation d’une machine virtuelle sur le système d’exploitation de l’utilisateur. Le blog d’AMO annonce le blocage par le système de liste noire mise à jour à distance dans Firefox des versions vulnérables non à jour du plugin Java.

La mise à jour de février 2012 des Java Development Kit (JDK) et Java Runtime Environment (JRE) inclut un patch pour corriger une vulnérabilité critique qui peut permettre le chargement de code arbitraire sur l’ordinateur d’un utilisateur final.

Cette vulnérabilité – présente dans les versions les plus anciennes des JDK et JRE – est activement exploitée et représente un risque potentiel pour les utilisateurs. Pour atténuer ce risque, nous avons ajouté les versions affectées du plugin Java pour Windows (Version 6 Update 30 et inférieures ainsi que la Version 7 Update 2 et inférieures) à la liste de blocage de Firefox. Une entrée de la liste de blocage pour le plugin Java sur OS X pourrait être ajoutée à une date ultérieure.

Mozilla encourage fortement tous ceux qui ont besoin des JDK et JRE à mettre à jour vers la version actuelle dès que possible sur toutes les plateformes.

Les versions touchées du plugin Java seront désactivées, sauf si un utilisateur fait un choix explicite de le laisser activé au moment où il sera avisé que le blocage est appliqué.

Des versions à jour du JRE pour les systèmes d’exploitation Windows et Linux sont disponibles sur java.com.

Java pour OS X est fourni par Apple, mais une mise à jour vers une version non vulnérable des JDK ou JRE n’était pas disponible au moment de cette annonce.

Mise à jour (12/04/04) : Apple a publié des versions mises à jour du JRE pour OS X Snow Leopard (10.6) et OS X Lion (10.7) par l’intermédiaire de la mise à jour des logiciels et de support.apple.com/fr_FR/downloads/

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

Si vous n’utilisez pas Java très régulièrement, je vous conseille de désactiver le plugin Java (menu unique Firefox > Modules complémentaires > panneau Plugins > désactiver tout ce qui s’appelle Java…) et de le réactiver en cas de besoin. N.B. : Ne pas confondre Java et JavaScript directement interprété par le navigateur.

Voir aussi sur BlogZiNet : MÀJ sur la mise en liste de blocage de Java dans Firefox.

Mozilla publie une mise à jour de sécurité et de stabilité de Mozilla Firefox, dix jours après la sortie de la dernière version majeure. Firefox 10.0.1 corrige un problème de sécurité critique qui sera aussi corrigé dans Thunderbird 10.0.1 et SeaMonkey 2.7.1. Ces dernières versions de la suite Internet libre et du navigateur de Mozilla empêchent les applets Java de parfois faire que les champs textuels ne répondent plus.

La version ESR connaît aussi cette mise à jour mineure de sécurité et de stabilité.

Les utilisateurs de Firefox vont recevoir une notification automatique de mise à jour. Ils peuvent aussi l’obtenir manuellement en choisissant « Rechercher des mises à jour… » dans le menu « ? » ou, depuis Firefox 4, ils peuvent l’obtenir manuellement en allant, dans le sous-menu « Aide » du menu unique « Firefox », voir la boîte de dialogue « À propos de Firefox ».

Télécharger Firefox 10.0.1 en français

• Firefox 10.0.1 pour Windows [fr]
• Firefox 10.0.1 pour Mac OS X [fr]
• Firefox 10.0.1 pour Linux [fr]

Comme annoncé précédemment, Mozilla publie une mise à jour de compatibilité pour Mac. Firefox 5.0.1 et 3.6.19 apporte une compatibilité accrue avec Mac OS X Lion.

Si vous avez un Firefox pour Mac, vous recevrez une mise à jour de notification automatique dans les 24 à 48 heures.

Veuillez noter que les utilisateurs sur Windows et Linux n’ont pas besoin et ne verront pas cette offre de mise à jour.

Les notes de diffusion de Firefox 5.0.1 précisent :

La dernière version de Firefox a les modifications suivantes :

• Contournement d’un problème dans Mac OS X 10.7 qui pourrait conduire Firefox à planter
• Contournement d’un problème causé par la « Java for Mac OS X 10.6 Update 5 » d’Apple où le plugin Java pourrait ne pas être chargé

Les notes de diffusion de Firefox 3.6.19 indiquent elles :

Firefox 3.6.19 résout les problèmes suivants trouvés dans les versions précédentes de Firefox 3.6 :

• Désactivation du support des polices téléchargeables pour les utilisateurs sous Mac OS X 10.7 en raison d’un bogue de la plateforme sous-jacente. Nous espérons les réactiver dans le futur.

Télécharger Firefox 5.0.1 en français

• Firefox 5.0.1 pour Windows [fr]
• Firefox 5.0.1 pour Mac OS X [fr]
• Firefox 5.0.1 pour Linux [fr]

Télécharger Firefox 3.6.19 en français

• Firefox 3.6.19 pour Windows [fr]
• Firefox 3.6.19 pour Mac OS X [fr]
• Firefox 3.6.19 pour Linux [fr]

Si depuis que vous avez mis à jour le plugin atReply, l’annonce de sa mise à jour reste collée en haut du tableau de bord de votre Dotclear et que vous ne vouliez pas attendre la prochaine mise à jour du plugin, il vous suffit d’aller dans le répertoire « /plugins/atReply/ » et supprimer le fichier « _install.php » pour ne plus voir cette énervante annonce.

MÀJ : La version 1.6.5 est venue corriger ce bogue.

Si vous cherchez une extension simple pour faire des captures d’écran dans Mozilla Firefox, vous trouverez votre bonheur dans Pearl Crescent Page Saver Basic. Je l’utilise dans mon profil courant. Il est traduit en français.

Une extension plus compliquée (que j’ai dans mon profil Développement) est FireShot qui dispose d’un éditeur d’images. De plus, FireShot est disponible pour Firefox, SeaMonkey et Thunderbird (et IE également).