Firefox 1.0.7 en anglais
Par Mozinet,
mercredi 21 septembre 2005 à 09:13 :: Navigateurs
- Sécurité - Mozilla :: #783
:: 
Une mise à jour de sécurité de la branche 1.0 de Firefox vient de sortir en anglais. Elle apporte, en plus de revenir sur des régressions, plusieurs améliorations de la stabilité et de la sécurité de Firefox, dont la correction de la vulnérabilité de dépassement de mémoire tampon des noms de domaine internationalisés (IDN) divulguée par le triste sire Ferris trois jours après son signalement à la fondation Mozilla, et ce, avec assez de détails pour permettre de l'exploiter. Cet individu avait pourtant pas longtemps auparavant revendiqué une faille exploitable sur IE en ne montrant qu'une capture d'écran. Peut-être n'avait-il pas eu alors assez de publicité ou de reconnaissance de ses talents…
Il ne semble pas encore y avoir d'attaque réussie par ce biais recensée. Espérons que la mise à jour par le système de notification interne de Firefox (
) sera vite activée et dans toutes les langues. Il ne faudrait pas attendre une semaine comme la dernière fois entre la mise à jour logicielle anglaise américaine et celles des autres langues. Bien qu'une solution de contournement simple à mettre en œuvre ait été publiée rapidement par la fondation Mozilla, beaucoup d'utilisateurs doivent être encore vulnérables. Plus on aura rapidement de systèmes inattaquables de ce côté, moins la production de malwares exploitant cette vulnérabilité n'aura d'attrait.
Les notes de diffusion de Firefox 1.0.7 signalent comme nouveautés pour cette version (la page des vulnérabilités connues n'a pas encore été mise à jour) :
- Correctif pour une vulnérabilité de dépassement de mémoire tampon lors du chargement d'un nom d'hôte avec que des tirets conditionnels ;
- Correctif pour éviter que des URL passées depuis les programmes externes d'être analysés par le shell (uniquement pour Linux) ;
- Correctif pour éviter un plantage lors du chargement d'un script Proxy Auto-Config (PAC) qui se sert d'une déclaration « eval » ;
- Correctif pour restaurer
InstallTrigger.getVersion()pour les auteurs d'extensions ;- Autres correctifs de stabilité et de sécurité.
- Installeur Windows [en-US] (4,6 Mo)
- Image Mac OS X [en-US] (8,7 Mo)
- Linux
- Installeur [en-US] (8,2 Mo)
- Archive Tar.gz [en-US] (7,9 Mo)
La suite Mozilla aura aussi droit à sa version de maintenance sécuritaire dans la foulée. Ce sera Mozilla 1.7.12.
- MozillaZine-fr :
- MàJ : Sortie de Mozilla Firefox 1.0.7, 21 sept. 2005
- Un dépassement de mémoire tampon pour les liens dans Mozilla Firefox permet l'exécution de code arbitraire, 9 sept. 2005
- Ce que les utilisateurs de Firefox et de Mozilla doivent connaître sur le problème de sécurité de dépassement de mémoire tampon des noms de domaine internationalisés (IDN), 9 sept. 2005
- Des hackers travailleraient à exploiter le débordement de tampon des liens IDN, Tom Ferris revendique une nouvelle faille, 15 sept. 2005
- D'autres Mozilla Firefox 1.0.7 et Mozilla 1.7.12 Release Candidates, 16 sept. 2005
- Mozilla Foundation :
- eWeek, Selective Disclosure Raises Questions, 9 sept. 2005, Larry Seltzer
- Les Nouvelles.net, Vers un assaut contre Firefox ?, 18 sept. 2005, Jerome Saiz
Ce billet a été modifié en dernier le 29 November 2005 à 23:44:40.
Fils
Fils d'actu
MozillaZine-fr
Commentaires
Aucun commentaire pour le moment.
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.