Bien que le FrSIRT englobe sans discrimination « Mozilla Firefox version 1.5 et inférieures, Mozilla Suite version 1.7.12 et inférieures, Mozilla Thunderbird version 1.5 et inférieures et Mozilla SeaMonkey versions antérieures à 1.0 » dans le même bulletin, tous ces produits ne sont pas concernés par toutes les vulnérabilités.

SeaMonkey 1.0

De surcroît, il est nécessaire de préciser que les versions antérieures à une 1.0 font partie d'une phase de tests. Mieux vaut que les failles soient découvertes à ce moment là plutôt qu'au cours de la période d'utilisation en production (comme Firefox 1.5). Il est rappelé aussi que SeaMonkey n'est pas un produit officiel de la fondation Mozilla, même si le projet communautaire bénéficie de son soutien en infrastructures. SeaMonkey 1.0 corrige ces failles. Il vient de sortir en anglais et un pack linguistique est disponible pour franciser la version originale. La version française complète pour Mac OS X est déjà prête, celles pour les autres plateformes devraient suivre sous peu.

Firefox 1.0.8

Certaines des failles touchent des fonctions introduites au cours de la phase de développement de Gecko 1.8. Elles ne touchent donc ni les versions 1.0 de Firefox (qu'il faut quand même laisser tomber pour Firefox 1.5), ni la suite Mozilla 1.7 qui donnera quand même certainement lieu à une version d'entretien 1.7.13. De même, une version 1.0.8 de Firefox est déjà prévue. La fondation Mozilla a en effet fait savoir qu'elle supporterait encore la branche 1.0 pendant les six mois suivant la sortie de Firefox 1.5.

Le JavaScript dans Thunderbird

Concernant Thunderbird, le logiciel de messagerie électronique construit sur le même moteur d'affichage que Firefox, les vulnérabilités sont beaucoup moins graves. En effet, ces failles concernent principalement le JavaScript qui est désactivé par défaut dans Thunderbird. Le JavaScript n'est pas utile pour lire les emails (s'il l'est il faut en chercher la cause), il est donc important pour sa sécurité et la confidentialité de sa vie privée de ne pas enclencher cette fonction de Thunderbird. Pour le vérifier sous Windows, allez dans le menu Outils, Options…, volet Confidentialité, onglet Général. La case Bloquer le JavaScript dans le courrier doit être cochée. Une mise à jour de Thunderbird est donc beaucoup moins urgente que pour les navigateurs issus de Mozilla.

Options de JavaScript