mozillaZine

Fanzine sur Mozilla et ses logiciels (Firefox, Thunderbird, SeaMonkey, etc.) — Site indépendant depuis 1999

Site archivé depuis 2020. Les contenus que vous trouverez ici sont conservés pour le souvenir.

jeudi 25 septembre 2014

Chemspill pour Firefox, Thunderbird, SeaMonkey…

Un chemspill (pour « chemical spill », qu’on peut traduire par « fuite chimique ») est une parution de Firefox ou SeaMonkey faite en dehors du calendrier classique de 6 semaines ou hors calendrier pour Thunderbird. Il est souvent fait à la suite de la découverte d’un bogue sérieux ou d’un problème de sécurité public. Hier, Mozilla a réagi à la découverte d’une vulnérabilité critique en publiant des versions de correction pour toutes les versions des logiciels qu’il supporte.

Il s’agissait de corriger une vulnérabilité de contrefaçon de certificat dans NSS qui a été découverte par deux groupes indépendants de chercheurs (dont un chercheur en sécurité de l’Inria Paris) Elle permet à un attaquant expert de se faire passer pour n’importe quel site.

En termes simples, cela signifie que vous pourriez avoir été sur le site de votre banque, sans savoir si c’était votre banque ou un site malveillant se faisant passer pour votre banque. Ce problème dépasse largement le périmètre de Mozilla et touche de nombreux autres projets et produits qui utilisent NSS pour la gestion des certificats.

Vous devez mettre à jour tous vos Mozilla Firefox, Thunderbird et SeaMonkey quelque soit le canal sur lequel vous vous trouvé (Release, Beta, Aurora, Nightly, ESR ; l’item de menu « À propos de » vous l’indique). Les versions corrigées que vous devez faire tourner désormais sont :

Pour Lawrence Mandel de Mozilla, publier tant de mises à jour de produits en une seule journée a été un fantastique tour de force. Cela est d’autant plus impressionnant quand on considère qu’ils ont dû coordonner leur calendrier de sortie avec d’autres compagnies. Il tient à remercier tous ceux qui ont participé à ces sorties avec un remerciement tout spécial pour le contributeur Kai Engert (RedHat).

Article repris de BlogZiNet avec l’accord de l’auteur.

Illustration réalisée à partir d’une œuvre de lisaamybeth.

^