InformationWeek a un reportage sur ce que l’avenir réserve à Mozilla Thunderbird. L’article se focalise sur l’extension d’agenda Lightning, dont il annonce qu’il devrait être prêt pour la fin de l’année. En attendant, le développeur en chef de Thunderbird Scott MacGregor est cité lorsqu’il dit que Thunderbird 1.1 sortira en juillet et comprendra des fonctions de détection du phishing, la possibilité de retirer les pièces jointes des messages reçus et un meilleur support de la gestion des serveurs SMTP multiples. L’article est complété par quelques statistiques de téléchargement et des détails sur les organisations qui ont adopté Thunderbird, y compris l’université d’Harvard, la Stern School of Business de l’université de New-York et une entreprise parmi les 100 de Fortune dont le nom n’est pas révélé. Merci à Roseman pour le lien.
Mise à jour 2 : Si tout va bien les versions finales de la Release Candidate 1.0.4 sont maintenant disponibles. La fondation Mozilla espère diffuser la mise à jour mercredi soir.
Commentaires fermés sur Mozilla Firefox 1.0.4 Release Candidates
Robert Wiblin nous a écrit pour nous informer que Firemonger 1.04 est sorti. Firemonger offre une image CD pour Windows téléchargeable Mozilla Firefox 1.0.3 et Mozilla Thunderbird 1.0.2 équipés de quelques plugins, extensions et thèmes populaires (voir la page des téléchargements de Firemonger pour une liste). Cette nouvelle version vient juste quelques jours après la sortie de Firemonger 1.03.
Firemonger 1.04 propose des instructions révisées et comprend un guide du débutant avec des images. Il y a aussi une brève publicité en vidéo pour Firefox créée par Eric Edwards incluse. Le CD peut être téléchargé soit comme une image de CD soit comme un fichier Zip. Il y a également maintenant une version Lite disponible, qui ne comprend pas de plugins ni la publicité en vidéo.
Robert ajoute : « Nous avons toujours des projets pour des portages vers Mac et Linux, aussi bien que davantage de traductions, en association avec MozCD et peut-être en utilisant Portable Firefox Live. SVP, rejoignez la discussion sur les forums ou ajoutez notre fil RSS de sorte que vous connaissiez le moment où nous ferons notre prochaine mise à jour. Nous accueillons toujours volontiers de nouveaux traducteurs ou des propositions d’aide ! »
Commentaires fermés sur Le CD Firemonger 1.04 est sorti
Mozilla Europe, la filiale européenne de Mozilla Foundation, a embauché Tristan Nitot et Peter Van der Beken sur la base d’un plein temps. Tristan et Peter ont été membres du conseil d’administration de Mozilla Europe depuis que l’organisme a été créé en 2004, avec Tristan comme président du groupement. Tous deux sont des contributeurs à Mozilla de longue date et ont travaillé pour Netscape par le passé.
Hier, nous avons rapporté qu’ une vulnérabilité d’exécution de code arbitraire a été découverte dans Mozilla Firefox. Aujourd’hui, la fondation Mozilla a édité le communiqué de sécurité MFSA 2005-42, que nous recommandons vivement à tous nos lecteurs d’analyser attentivement. En résumé, il y a deux problèmes indépendants qui peuvent être combinés pour exécuter un code arbitraire sur l’ordinateur d’une victime : un concernant l’injection de code Javascript et un autre impliquant l’URL d’icône utilisée dans la boîte de dialogue d’installation d’un logiciel. Cependant, comme décrit ci-dessous, la capacité d’exécuter un code arbitraire n’est plus une menace pour la plupart des utilisateurs.
La première faille est la moins sérieuse, bien qu’elle puisse potentiellement conduire au vol de données sensibles et facilite l’exploitation de la deuxième faille. La vulnérabilité permet à un site hostile d’utiliser les cadres (frames) et Javascript pour injecter du code JavaScript dans un autre site. Ceci permet au site hostile de voler des données comme les cookies ou d’effectuer des actions telles que lancer la boîte de dialogue d’installation d’un logiciel sans être sur la liste des sites autorisés à installer un logiciel de l’utilisateur (notez que ceci ne permet pas au logiciel d’être installé sans une intervention de l’utilisateur). Cette faille affecte Mozilla Firefox et la suite Mozilla et peut être éliminée en désactivant le JavaScript.
La deuxième faille est plus sérieuse et implique la boîte de dialogue d’installation d’un logiciel, qui est utilisée pour demander à l’utilisateur s’il souhaite installer un logiciel (comme une extension) à partir d’un site Web. Dans Mozilla Firefox (mais pas dans la suite Mozilla), cette boîte de dialogue peut inclure une icône, donnée par le site sous la forme d’une URL d’un fichier image. En raison d’une vérification insuffisante, cette URL d’icône peut être en fait un bout de code Javascript, lequel est exécuté sans autre sollicitation. Puisque ce code est effectivement exécuté depuis la boîte de dialogue d’installation du logiciel, plutôt que depuis une page Web, il est exécuté avec les « pleins privilèges du chrome », ce qui veut dire qu’il peut faire tout ce que l’utilisateur faisant fonctionner Firefox peut faire, dont installer un logiciel ou supprimer des fichiers. C’est la faille la plus sérieuse, permettant l’exécution d’un logiciel, et elle affecte uniquement Mozilla Firefox. Elle peut être empêchée en désactivant l’installation des logiciels.
Seule, la deuxième faille peut uniquement être exploitée par un site de la liste des sites autorisés à installer un logiciel de l’utilisateur. Cependant, un site hostile peut combiner les première et deuxième attaques pour exécuter un code arbitraire s’il connaît les détails d’un des sites de la liste des sites autorisés. Dans une installation standard de Firefox, seuls les sites de Mozilla Update (update.mozilla.org et addons.mozilla.org) se trouvent sur la liste des sites autorisés par défaut. Ceci a permis à la fondation Mozilla d’appliquer un changement côté serveur qui empêche des attaquants d’exploiter la faille d’exécution de code en utilisant ses systèmes. Par conséquent, si vous n’avez pas ajouté de sites supplémentaires dans la liste des sites autorisés, vous n’êtes pas exposé à l’exploit d’exécution de code et ne l’êtes pas depuis hier. Cependant, vous serez toujours vulnérable à la faille moins sérieuse d’injection Javascript.
Le changement côte serveur fait à Mozilla Update et les solutions de contournement décrites dans le MFSA 2005-42 (si vous ne l’avez toujours pas lu, veuillez le faire) sont des mesures provisoires. Nous avons appris que la fondation Mozilla teste actuellement des versions qui incluent une meilleure solution à ce problème, ainsi nous comptons qu’une mise à jour de sécurité sera publiée sous peu.
Commentaires fermés sur Plus de détails sur la vulnérabilité d’exécution de code arbitraire
Une faille de sécurité qui permet à un site malveillant d’exécuter du code arbitraire sur le système d’un utilisateur a été découverte dans Mozilla Firefox. Secunia a probablement l’une des descriptions les plus précises et concises de la vulnérabilité d’exécution de code. Il semble être la première faille « extrêmement critique » de Firefox répertoriée par Secunia.
L’alerte explique qu’une attaque réussie implique d’exploiter deux failles : l’une nécessite de ruser pour amener Firefox à penser qu’une installation de logiciel est déclenchée par un site en liste blanche, alors que l’autre se fonde sur le déclencheur d’installation de logiciels qui ne vérifie pas suffisamment les URL d’icônes contenant du code JavaScript. L’alerte de Secunia suggère de désactiver le JavaScript comme solution de contournement ; cependant, simplement désactiver l’installation des logiciels (Panneau Fonctionnalités Web de la fenêtre Options/Préférences dans Firefox 1.0.3 ou le panneau Content dans les dernières compilations du tronc) élimine le problème. Nous avons appris qu’un changement fait à Mozilla Update a rendu la vulnérabilité efficacement inexploitable si vous avez seulement update.mozilla.org et addons.mozilla.org dans votre liste blanche d’installation de logiciels (accessible depuis les panneaux Fonctionnalités Web ou Content dans la fenêtre Options/Préférences), ce qui est la configuration par défaut.
La vulnérabilité a été découverte par Paul du Greyhats Security Group et Michael « mikx » Krax. Paul a écrit une explication technique détaillée de la façon dont l’exploit fonctionne. Sur une page particulièrement fabriquée, l’attaquant emploie d’abord des cadres et une faille JavaScript de l’historique pour faire qu’il semble qu’une installation de logiciel est déclenchée depuis addons.update.mozilla.org, un des quelques sites autorisés par défaut à installer des logiciels. Avec cet obstacle écarté, l’attaquant peut essayer de faire de réels dommages. Un des paramètres transmis au procédé d’installation de logiciels est une URL d’icône, qui peut être un morceau de code de JavaScript. Comme le JavaScript est exécuté depuis le chrome (l’interface utilisateur du navigateur plutôt que d’une page Web), il a les « pleins privilèges du chrome » et peut faire tout ce que l’utilisateur faisant fonctionner Firefox peut faire. L’attaquant peut donc transmettre du JavaScript malveillant et exécuter du code sur le système de la victime.
La vulnérabilité exige de l’attaquant de déclencher une installation qui semble venir d’un site en liste blanche. Heureusement, la fondation Mozilla contrôle tous les sites de la liste blanche d’installation de logiciels par défaut, ce qui leur a permis de prendre des mesures préventives en plaçant plus de contrôles dans le code côté serveur de Mozilla Update et déplaçant le site de mise à jour vers un autre domaine. Nous croyons que ceci signifie que les utilisateurs qui n’ont ajouté aucun site supplémentaire à leur liste blanche d’installation de logiciels ne sont plus en danger.
Nous prévoyons que la fondation Mozilla sortira une mise à jour 1.0.4 de Firefox sous peu.
Mise à jour : La fondation Mozilla a publié une alerte de sécurité. Elle dit : « La fondation Mozilla a connaissance de deux vulnérabilités potentiellement critiques pour Firefox, comme publié samedi 7 mai. Il n’y a actuellement aucune utilisation connue de ces vulnérabilités bien qu’une »proof of concept « a été signalée. Des changements ont été effectués sur le service Mozilla Update pour limiter les risques d’utilisation. Mozilla travaille d’arrache-pied pour fournir une solution plus complète à ces vulnérabilités potentielles et fournira cette solution dans le cadre d’une prochaine mise à jour de sécurité. Les utilisateurs peuvent en plus se protéger eux-mêmes aujourd’hui en désactivant temporairement le JavaScript. »
Mise à jour : La fondation Mozilla a publié l’alerte de sécurité de Mozilla Foundation 2005-42, son communiqué officiel sur la vulnérabilité d’exécution de code arbitraire. La solution de contournement officielle est de désactiver le JavaScript.
Asa Dotzler écrit : « Aujourd’hui la fondation Mozilla lance le programme de prix 2005 de la communauté Mozilla. Ce fut une année étonnante, et elle n’aurait pas été possible sans une communauté inspirée et dévouée de contributeurs. Nous avons, sans aucun doute, une des plus grandes et des plus diversifiées des communautés de contributeurs open source, et bien que nous ne pouvons pas remercier chaque personne qui cette dernière année nous a aidé à devenir ce que nous sommes, nous voudrions prendre le temps de remercier les contributions exceptionnelles à travers toute l’étendue des activités de la communauté.
« Afin d’être certain de n’oublier aucun secteur essentiel de contribution, nous lançons ce programme avec une sollicitation de catégories. Vous pouvez prendre plaisir à revenir au premier prix Mozilla il y a de 5 ans pour l’inspiration, mais puisque notre communauté s’est développée et que le nombre de projets et de produits a augmenté, alors nous avons besoin de nouvelles catégories de reconnaissance.
« Ce processus de suggestion de catégories finira le 13 mai 2005 à 5h00 pm du fuseau horaire de la côte pacifique (PDT), et alors commencera le procédé des nominations des personnes. Ne manquez pas cette grande occasion de réunir les conditions nécessaires au prix 2005 de la communauté Mozilla ! Donnez-nous votre suggestion de catégories dès maintenant.
« Les suggestions de catégorie doivent être postées comme commentaires à cet article sur MozillaZine-US. »
Commentaires fermés sur Prix de la communauté Mozilla
Les dernières compilations nocturnes de Mozilla Firefox comprennent une nouvelle fonctionnalité qui améliore significativement la vitesse des boutons Précédent et Suivant. En utilisant les boutons Précédent et Suivant dans les compilations plus anciennes, la page est récupérée du cache locale plutôt que d’Internet mais Gecko doit toujours réanalyser le HTML et l’utiliser pour de nouveau restituer la page, ce qui peut prendre un certain temps avec des documents plus complexes. Avec la nouvelle fonction, la page composée est gardée en mémoire, ce qui rend les performances de l’avance et du retour plus rapides (presque instantanés). En plus, reculer ou avancer d’une page en cache de cette manière montre la page exactement comment elle était quand vous l’avez laissée, en conformité avec la section 13.13 du RFC 2616.
La fonction d’avance et de retour diablement rapide est actuellement désactivée par défaut. Voir le billet du blog de Chase Phillips pour les instructions pour l’enclencher. On peut espérer qu’elle sera activée par défaut à temps pour la sortie de Firefox 1.1. Davantage de détails techniques peuvent être trouvés dans le bogue 274784 (pas de commentaires inutiles SVP). L’expérience d’autres navigateurs (Opera, Internet Explorer et Safari ont des fonctions semblables) a montré que c’est une chose compliquée à mettre en ordre sans casser de nombreuses pages.
Bien que presque tout le monde approuve les performances plus rapides, cette fonction n’est pas sans controverse. Pour le moment, le tronc est gelé en préparation de Mozilla 1.8 bêta 2 et les enregistrements sont supposés être limités et contrôlés. Quelques développeurs estiment qu’un changement aussi important ne devrait pas être autorisé à embarquer en ce moment et ont soutenu qu’il devrait avoir à attendre jusqu’au début du cycle de la version 1.9 (après Firefox 1.1). Il y a aussi des inquiétudes sur le fait que la fonction soit plutôt boguée dans son état actuel. Sur ce, les partisans de la nouvelle fonction déclarent qu’il serait coûteux de le maintenir jusqu’au début du développement 1.9 et ont soutenu qu’il est mieux de l’entrer maintenant de sorte qu’il puisse être exposé à des tests étendus. Ces débats ont abouti à ce que la fonction soit enregistrée mais désactivée par défaut, un compromis dont nous avons cru comprendre qu’il laissait la plupart des développeurs fondamentalement satisfaits.
Si vous trouvez n’importe quel bogue avec la fonction d’avance et de retour améliorée, veuillez les inscrire dans Bugzilla. Il ne devrait y avoir aucune régression quand elle est désactivée, alors veuillez également répertorier les bogues si ce n’est pas le cas.
