Journal : Nouvelle vulnérabilité pour Mozilla/Firefox

Posté par tuiu pol (Jabber id, ) le 16 juillet 2004

L'info est disponibe ici :
http://www.k-otik.net/bugtraq/07162004.Mozilla.php(...)

Je cite :
Une vulnérabilité a été identifiée dans Mozilla/Firefox, elle pourrait être exploitée par un attaquant distant afin de causer un Déni de Service. Le problème se situe au niveau de la gestion des certificats, ce qui pourrait être exploité via un MIME type "application/x-x509-email-cert" afin d'importer un certificat sans l'interaction de l'utilisateur. Ce certificat "malicieux" peut par exemple bloquer l'accès à un site SSL (s'il a le même DN -Distinguished Name- que le certificat installé).

Les versions concernées sont Mozilla 1.6x, Mozilla 1.7x, Firefox 0.8 et Firefox 0.9x.

Il n'y a pas encore de correctif officiel

Plus d'informations :
http://secunia.com/advisories/12076/(...)
http://bugzilla.mozilla.org/show_bug.cgi?id=249004(...)

> Lire le journal (19 commentaires, moyenne: 2,8).

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Ouille!

Posté par Gregory Auzanneau (page perso, ) le 16/07/2004 à 22:53. (lien). Évalué à 10.

Ca me fait mal d'entendre ça. D'un coté, c'est tout à fait compréhensible, personne n'est parfait, je ne connais pas un programmeur qui soit sans faille.
D'un autre coté ça me désole, quand j'ai lu la dépeche parlant de la fondation Mozilla, j'ai bien ricané en voyant les chiffres de téléchargement, je me suis dit que ça annoncé la mort d'IE. J'espere que personne ne va mettre à profit les différentes failles découvertes récemment pour plomber toute la série des Mozilla.

Enfin, le point de vue positif, c'est qu'il ne faudra pas attendre 3 mois pour avoir un patch et qu'il est simple de comparer la réactivité du libre.

Et une fois de plus je remercie tous les développeurs du libre, de nos offrir leurs temps libres pour nous permettre d'avoir qqchose de stable et qui ne nous transforme pas en vache à lait!

[^]Re: Ouille!

Posté par tuiu pol (Jabber id, ) le 16/07/2004 à 23:01. (lien). Évalué à 8.
j'ai bien ricané en voyant les chiffres de téléchargement, je me suis dit que ça annoncé la mort d'IE
Ben en fait l'un provoquera fatalement l'autre : plus il y aura de monde qui l'utilisera et plus on aura de vulnérabilités et autres bugs de trouvés.

Enfin, le point de vue positif, c'est qu'il ne faudra pas attendre 3 mois pour avoir un patch et qu'il est simple de comparer la réactivité du libre.
un patch est effectivement en cours mais ils semblent rencontrer des problème, c'est vrai que c'est bien moins trivial que la dernière vulnérabilité avec shell://
- [^]Re: Ouille!
  
  Posté par Victor STINNER (page perso, ) le 17/07/2004 à 01:12. (lien). Évalué à 4.
  Ben en fait l'un provoquera fatalement l'autre : plus il y aura de monde qui l'utilisera et plus on aura de vulnérabilités et autres bugs de trouvés.
  C'est une bonne chose ! Les bugs/vulnérabilités signalés puis corrigés rendent le logiciel plus stable, fiable, etc.
  
  Au niveau des utilisateurs, c'est tout bénef'.
  
  Au passage, je voudrais quand même dire que les logiciels "Mozilla" (mail, navigateurs, etc.) sont vraiment d' *excellente* qualité ! C'est rare que ça plante (oui, ça arrive), le soft est bien conçu, et on voit régulièrement des nouvelles fonctionnalités vraiment intéressantes se rajouter !
  
  C'est quand même dommage que Internet Explorer n'ai pas évolué. Microsoft aurait pu se bouger un peu le cul pour corriger les bugs, améliorer le support des standards, etc. Enfin, ça a permis à "Mozilla" de se développer, alors j'arrête de râler :-)
  
  @+ Haypo
  - [^]Re: Ouille!
    
    Posté par Yves Dessertine (page perso, ) le 17/07/2004 à 13:02. (lien). Évalué à 0.
    Salut !! (on s'est vu à l'atelier gimp du lolut)
    
    Je ne peux pas croire que Microsoft ne nous mitonne pas une killer-app dans un coin. Parce que fo leur reconnaitre un truc : ils savent s'adapter au marché....
    
    --
    Yves Dessertine
    http://yvesd.net
    - [^]Re: Ouille!
      
      Posté par Laurent J (page perso, ) le 18/07/2004 à 16:45. (lien). Évalué à 2.
      oui ça s'appelle longhorn, c'est la future version de Windows. Il n'y aura plus de navigateur (sauf IE6 pour question de compatibilité avec les antécedents). tout sera vraiment tout intégré (avec leur système avalon XAML &co).
      
      Et pas de nouvelle version de IE ou assimilé à l'horizon.
      
      Parce que fo leur reconnaitre un truc : ils savent s'adapter au marché
      Ah oui ? Ben le marché demande des navigateurs conformes aux standards (cf les enquêtes des developpeurs de IE auprés des utilisateurs) et sécurisés. Ils n'en fournissent toujours pas.
      - [+] [^]Re: Ouille!
        
        Posté par pasBill pasGates () le 18/07/2004 à 21:13. (lien). Évalué à -1.
        le marché demande des navigateurs conformes aux standards (cf les enquêtes des developpeurs de IE auprés des utilisateurs) et sécurisés. Ils n'en fournissent toujours pas.
        
        J'ai pas vu d'etude ou la majorite des utilisateurs d'IE demandaient une meilleure conformite aux standards.
        Les devs web qui utilisent aussi Mozilla,... probablement, je doutes que ca fasse meme une forte minorite pour l'instant.
        
        Quand a la securite, ben tu verras dans 3-4 semaines le SP2 de XP et des changement assez enormes de ce cote la, ils ont mis le temps, mais c'est la.
        
        [^]Re: Ouille!
        
        Posté par lezardbreton (Jabber id, page perso, ) le 19/07/2004 à 09:36. (lien). Évalué à 3.
        Tiens, regarde ce qui est dit dans la newsletter distrowatch sur IE :
        http://www.distrowatch.com/weekly.php?issue=20040719(...)
        J'aimerais bien savoir ce que tu en dis, parce que sa thèse est plaisante.
        
        Je la résume :
        IE est très intégré à l'OS en général, bien plus que mozilla sous GNU/Linux par exemple, ce qui fait que les développeurs ont besoin de beaucoup plus de ressources pour pouvoir débugguer/corriger des failles sans que cela perturbe le reste du fonctionnement système.
        L'orientation prise pour la suite est d'intégrer encore plus IE dans l'OS, ce qui nous promet des délais encore plus longs de corrections des failles/bugs.
        
        [^]Re: Ouille!
        
        Posté par mcjo () le 19/07/2004 à 17:19. (lien). Évalué à 0.
        "Quand a la securite, ben tu verras dans 3-4 semaines le SP2 de XP et des changement assez enormes de ce cote la, ils ont mis le temps, mais c'est la.".
        Et vous avez déjà commencé ou pas a écrire les correctifs pour le sp2

[^]Re: Ouille!

Posté par Erwan (page perso, ) le 17/07/2004 à 08:32. (lien). Évalué à 3.
Et une fois de plus je remercie tous les développeurs du libre, de nos offrir leurs temps libres

Il y a des developpeurs du libre qui sont payes pour le faire, ceux qui sont employes par la Mozilla Foundation par exemple.

[^]Re: Ouille!

Posté par passant (page perso, ) le 17/07/2004 à 09:49. (lien). Évalué à 3.
La sécurité est importante mais c'est surtout la réactivité qui compte.

--
--

ama

Posté par TImaniac (page perso, ) le 17/07/2004 à 14:26. (lien). Évalué à 3.

Le plus gros bug de la suite Mozilla c'est de ne pas être capable de se mettre à jour toute seule comme une grande... (je sais c'est en préparation mais ca devient urgent apparement)

--
MonoFrance

[^]Re: ama

Posté par free2.org (page perso, ) le 18/07/2004 à 07:20. (lien). Évalué à 4.
Sous Linux les distribs le font, il vaut mieux utiliser leur version pour éviter de perturber ton système !
- [^]Re: ama
  
  Posté par Tennis Prono (page perso, ) le 18/07/2004 à 09:58. (lien). Évalué à 4.
  Et télécharger à chaque fois un rpm ou deb de mozilla en entier ? Pas de bol pour ceux qui n'ont pas l'ADSL.
  
  --
  Pas de bureau 3d libre sans drivers libres!
- [^]Re: ama
  
  Posté par TImaniac (page perso, ) le 18/07/2004 à 12:08. (lien). Évalué à 1.
  chez moi les rpm de firefox n'ont jamais marché correctement (sous ma fedora core 2), alors bon voilà quoi...
  
  --
  MonoFrance

[^]Re: ama

Posté par Yusei () le 18/07/2004 à 13:01. (lien). Évalué à 3.
La plus grande plaie de Windows, c'est que chaque appli doit se débrouiller pour s'installer / se mettre a jour / se désinstaller. C'est le job du système d'exploitation / de la distribution, ça.

Re: l'info est disponibe ici :

Posté par bobert () le 17/07/2004 à 17:05. (lien). Évalué à 1.

C'est quand même pénibe toutes ces failles ! Si ça continue faudra que ça cesse !!

[^]Re: l'info est disponibe ici :

Posté par ginkyo (page perso, ) le 17/07/2004 à 21:30. (lien). Évalué à 4.
>Si ça continue faudra que ça cesse !!
Hubert-Félix Thiéfaine, j'ai bon ?

--
« Si quis scienter in tantum a vino abstineret ut naturam multum gravaret a culpa immunis non esset. »Saint Thomas d'Aquin, Somme théologique, II-II, 150, 1 ad 1.

pas de patch: Internet Explorer reste toujours sous la menace de Scob

Posté par free2.org (page perso, ) le 18/07/2004 à 07:21. (lien). Évalué à 1.

http://www.zdnet.fr/actualites/technologie/0,39020809,39161411,00.h(...)

[^]Re: pas de patch: Internet Explorer reste toujours sous la menace de Sco

Posté par SoWhat () le 19/07/2004 à 07:06. (lien). Évalué à 1.
et alors? Quel est le rapport avec le journal? L'important n'est d'avoir un logiciel moins buggé qu'un autre logiciel propriétaire, mais d'avoir un logiciel libre le moins buggé possible. Faut arrêter un peu ... souffle ...

Revenir en haut de page

Journal : Nouvelle vulnérabilité pour Mozilla/Firefox

Ouille!

[^]Re: Ouille!

[^]Re: Ouille!

[^]Re: Ouille!

[^]Re: Ouille!

[+] [^]Re: Ouille!

[^]Re: Ouille!

[^]Re: Ouille!

[^]Re: Ouille!

[^]Re: Ouille!

ama

[^]Re: ama

[^]Re: ama

[^]Re: ama

[^]Re: ama

Re: l'info est disponibe ici :

[^]Re: l'info est disponibe ici :

pas de patch: Internet Explorer reste toujours sous la menace de Scob

[^]Re: pas de patch: Internet Explorer reste toujours sous la menace de Sco