Vulnérabilité Firefox/Mozilla/Netscape (09/09/05)

Ce forum est consacré aux questions sur tous type de "BUGS" rencontrés sur nos chers PC: Virus, DirectX pas a jour, logiciels qui plantes, etc...

Modérateurs : TEAM THE C@TZ, MODERATEURS

Répondre
lkaiman
MEMBRE SEMI-PRIVE
Messages : 2565
Enregistré le : 27.06.2003 19:21
Localisation : En France, en Picardie, dans l'Oise, a coté de mon PC ;)
Contact :

Vulnérabilité Firefox/Mozilla/Netscape (09/09/05)

Message par lkaiman » 14.09.2005 08:38

[align=center]Vulnérabilité critique dans Firefox,
Mozilla Suite et Netscape (09/09/05)
[/align]

RESUME :
Une vulnérabilité a été découverte dans les navigateurs Firefox, Mozilla et Netscape. Un défaut dans la gestion des caractères spéciaux permet à un individu malveillant de provoquer le plantage du navigateur de sa victime et pourrait permettre l'exécution de code malicieux via une page web piégée.

LOGICIEL(S) CONCERNE(S) :
Mozilla Firefox 1.0.6 et versions inférieures
Mozilla Firefox 1.5 Beta 1
Mozilla Suite 1.7.11 et versions inférieures
Netscape 8.0.3.3 et versions inférieures

CORRECTIF :
Le découvreur de la faille ayant fait le choix de ne pas coopérer avec l'éditeur avant de publier sa découverte, pour le moment il n'existe pas de correctif officiel et le risque d'exploitation malveillante à grande échelle est important car des détails techniques concernant la faille ont été rendus public. Outre la vigilance vis-à-vis des liens et fichiers HTML non sûrs, les utilisateurs concernés peuvent également désactiver à titre préventif la prise en charge des caractères spéciaux de type IDN par leur navigateur :
    * saisir "about:config" (sans les guillemets) dans la barre d'adresse du navigateur ;
    * presser le bouton "Ok" du navigateur ou la touche "Entrée" au clavier ;
    * saisir "idn" (sans les guillemets) dans le champ de recherche "Filtre" de la page qui s'affiche ;
    * double-cliquer sur "network.enableIDN" de manière à ce que sa valeur (colonne la plus à droite) devienne "false" (si la valeur est déjà "false" aucune modification n'est nécessaire).


Les utilisateurs de Firefox et Mozilla Suite peuvent cliquer ici pour installer un correctif temporaire effectuant la même opération. Les noms de domaine accentués (IDN) étant rarement utilisés, cette désactivation n'entraîne généralement pas de gêne significative pour l'utilisateur.

INFORMATIONS COMPLEMENTAIRES :
-> Mozilla Foundation Security Advisory (en anglais)
-> FAQ : comment déterminer le numéro de version de votre logiciel?
[align=center] Image [/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

LINUX

Message par totoland » 24.09.2005 10:16

PCImpact a écrit :Faille "extrêmement critique" pour Thunderbird Linux
Du même type que celle de Firefox Linux

Mardi dernier Secunia révélait la découverte d'une faille « extremely critical » sous Firefox dans sa version Linux. Jeudi on a pu apprendre que le cousin du navigateur, Thunderbird, est lui aussi touché par la même faille, encore uniquement dans sa version Linux.

La société danoise de sécurité a donc encore considéré que cette faille était également extrêmement critique. Pour rappel, le trou de sécurité concerne la manière dont le logiciel traite les URL qui pourraient comporter certaines lignes de commandes à exécuter sous Linux. Si ces commandes sont contenues dans l'URL, le navigateur les exécute automatiquement, ce qui est très dangereux selon Secunia.

La version 1.0.7 a corrigé ce trou de sécurité ainsi que d'autres, mais pour Thunderbird, la vulnérabilité est toujours présente, aucune nouvelle version n'étant venue corriger le problème. Par exemple, si l'utilisateur clique un lien direct « mailto: » à partir de son navigateur et que Thunderbird s'ouvre par défaut, alors toutes les commandes Linux dissimulées dans le lien s'exécutent.

Selon Mozilla et BugZilla, le bug a été rapporté et devrait être corrigé d'ici peu. Mais pour l'instant, la recommandation de Secunia est simple : ne pas utiliser Thunderbird comme logiciel par défaut. Vous êtes prévenus.
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

manage-man
MEMBRE SEMI-PRIVE
Messages : 1763
Enregistré le : 14.06.2003 20:57
Localisation : The Worldz

Message par manage-man » 24.09.2005 10:26

Y a beaucoup d'failles en ce moment, c'est pas très sérieux :?
Moi j'suis completement passé à opera, qui est maintenant totalement gratuit.

lkaiman
MEMBRE SEMI-PRIVE
Messages : 2565
Enregistré le : 27.06.2003 19:21
Localisation : En France, en Picardie, dans l'Oise, a coté de mon PC ;)
Contact :

Message par lkaiman » 24.09.2005 17:56

moui mais suffit de mettre la version d'aprés ;)
[align=center] Image [/align]

Avatar du membre
totoland
Administrateur
Administrateur
Messages : 4939
Enregistré le : 26.11.2002 11:29
Localisation : Lost somewhere

Message par totoland » 24.09.2005 20:12

Dans tous les cas, on parle de Mozilla du fait que c'est le navigateur le plus répendu derrière IE ... mais les autres c'est la même chose ...
Et puis sinon, il reste Netscape pour ceux qui veulent une sorte de FireFox ...

Dans tous les cas, il s'agissait non pas de FireFox ou equivalent, mais de Thunderbird qui lui n'a pas évolué et sur plate-forme linux, ce qui est loin d'être l'OS de base de tout un chacun :)
[align=center]"Quand une envie subite de travailler te prend. Allonges-toi et attends que ça passe"

Image[/align]

Répondre