12 failles de sécurité pour Firefox

[megataupe]

Alors que la version 1.05 pointe son nez, nous apprenons que le navigateur Firefox est atteint par douze failles de sécurité.

 

 

En effet, le site FrSIRT nous annonce que le navigateur web libre Firefox est atteint par pas moins de 12 vulnérabilités qualifiées de "critiques".

 

 

"Douze vulnérabilités ont été identifiées dans Mozilla Suite et Firefox, elles pourraient être exploitées par des sites malicieux afin de compromettre un système vulnérable ou réaliser des attaques par spoofing ou cross site scripting. Ces problèmes résultent d'erreurs multiples présentes au niveau du traitement des documents XHTML, JavaScript, et XBL, ainsi qu'aux niveaux des fonctions "InstallVersion.compareTo()", "top.focus()" et "InstallTrigger.install()", ce qui pourrait être exploité afin de compromettre un système vulnérable ou obtenir des informations sensibles."

 

 

Les versions concernées sont les suivantes :

 

* Mozilla Firefox version 1.0.4 et inférieures

* Mozilla Suite version 1.7.8 et inférieures

* Thunderbird version 1.0.2 et inférieures

 

 

Effectivement, Thunderbird est également atteint.

 

Petite consolation, la nouvelle version 1.05 de Firefox, disponible depuis aujourd'hui en version anglaise, corrige ces failles. Pour la version française, il ne s'agit plus que d''une question d'heures avant qu'elle ne soit également disponible.

 

Comme d'habitude, on notera avec satisfaction la rapidité de la fondation Mozilla pour corriger les failles affectant ses logiciels.

 

Fixed in Firefox 1.0.5

 

MFSA 2005-56 Code execution through shared function objects

MFSA 2005-55 XHTML node spoofing

MFSA 2005-54 Javascript prompt origin spoofing

MFSA 2005-53 Standalone applications can run arbitrary code through the browser

MFSA 2005-52 Same origin violation: frame calling top.focus()

MFSA 2005-51 The return of frame-injection spoofing

MFSA 2005-50 Possibly exploitable crash in InstallVersion.compareTo()

MFSA 2005-49 Script injection from Firefox sidebar panel using data:

MFSA 2005-48 Same-origin violation with InstallTrigger callback

MFSA 2005-47 Code execution via "Set as Wallpaper"

MFSA 2005-46 XBL scripts ran even when Javascript disabled

MFSA 2005-45 Content-generated event vulnerabilities

 

Source :

 

http://www.generation-nt.com/actualites/81...te-pour-Firefox

 

edit : en attendant la version Française 1.0.5, n'oubliez pas de sécuriser votre Firefox comme indiqué sur ce post :

 

http://forum.zebulon.fr/index.php?showtopic=69628

Modifié le 13 juillet 2005 par megataupe

[Svr32]

Pour suivre. J'attends le FF 1.0.5 fr avec impatience....

[Invité tesgaz]

a mince, j'ai des failles merdoum

 

j'attend la version 1.0.6 qui corrigera les failles de la version 1.0.5 qui elle même corrigait les failles de la version 1.0.4

 

a moins que j'attende carrément la version 2.0.0

[ipl_001]

Merci megataupe ! Bonsoir à tous !

[Thanos]

merci pour l'info ,méga!

edit : en attendant la version Française 1.0.5, n'oubliez pas de sécuriser votre Firefox

tiens à propos de sécuriser,j'ai NoScript qui me la joue pétard mouillé!!

 

quand j'ouvre 2 onglets sur firefox(1.0.4) et que je surfe; je clique pour accepter les

 

javascript du site visité=>et là message de daube de chez crosoft: "Firefox a rencontré

 

un problème et vous claque entre les pattes!" ,t'as déjà vu ça?

[megataupe]

Hello Charles . Je n'ai pas ce genre de problème mais il est vrai que j'utilise la version de Moox d'une stabilité à toute épreuve car, il n'y a même pas d'inspecteur Dom sur ces versions.

 

http://www.moox.ws/tech/mozilla/localizedbuilds.htm

[Thanos]

re méga

 

je dois avoir la poisse car c'est une version Moox M2 que j'utilise!! c'est pas bien grave

 

il me met le message d'erreur une fois et quand je retourne sur le site ,les javascript

 

sont activés,donc il garde ca en mémoire!