Une grave faille de sécurité été trouvée dans l’extension populaire Greasemonkey pour Mozilla Firefox, autorisant la possibilité à des sites Web d’accéder à n’importe quel fichier de l’ordinateur de l’utilisateur. D’abord sorti l’année dernière, Greasemonkey permet aux utilisateurs d’installer des petits bouts de code (connu sous le nom de scripts utilisateurs) qui changent la manière de se comporter des différents sites Web. Si un utilisateur exécutant une version vulnérable de Greasemonkey visite un site Web qui déclenche au moins un de ses scripts utilisateurs alors le site Web peut lire n’importe quels fichiers de cet utilisateur ou lister le contenu de n’importe lequel des répertoires/dossiers de cet utilisateur. Le problème peut être résolu soit en installant Greasemonkey 0.3.5, qui corrige la faille mais diminue les fonctionnalités, ou soit en désintallant complètement Greasemonkey. Une version avec toutes les fonctionnalités de Greasemonkey qui corrige les problèmes de sécurité est en cours de développement.
En attendant, BetaNews a une vision globale, s’interrogeant si les systèmes d’extensions de Firefox est en soi une faiblesse de sécurité. « Les attaquants ont longtemps utilisés le support des plug-ins ActiveX d’IE pour infiltrer un système, » indique l’article, « et certains indiquent maintenant que les mêmes choses peuvent être faits en utilisant les extensions de Firefox. » BetaNews cite des commentaires de Slashdot — qui a précédemment publié un article sur la vulnérabilité de sécurité de Greasemonkey — exprimant des inquiétudes similaires. En effet, la fondation Mozilla n’a jamais prétendu que les extensions installées de plein gré par les utilisateurs sont sans danger et il est connu depuis longtemps que clairement les extensions peuvent faire pratiquement n’importe quoi une fois qu’elles s’exécutent sur le système d’un utilisateur. Cependant, elle s’inquiète que certains utilisateurs croient que les extensions sont implicitement sûres.
En raison de son objectif même de modifier les pages Web visitées, Greasemonkey a longtemps été la source de polémiques, concernant le contrôle sans précédent qu’il donne aux utilisateurs et ses possibles conséquences sur le marché de la publicité en ligne. Des inquiétudes concernant la sécurité ont aussi été soulevées auparavant, bien que celles-ci aient la plupart du temps tournées autour de la crainte de scripts utilisateurs hostiles soient développés, plutôt que les failles dans Greasemonkey lui-même mettant les utilisateurs en danger.
ZDNet UK a visité le siège de la fondation Mozilla à Mountain View, en Californie pour « découvrir comment une petite bande d’enthousiastes de l’open source ont commencé à défier l’emprise de Microsoft sur le marché des navigateurs ». Leurs réponses peuvent être trouvées dans une rubrique intitulée Mozilla : From obscurity to opportunity.
ZDNet a également pris quelques photographies du siège de la fondation Mozilla. Des endroits célèbres comme le pont de canettes de soda sont accompagnés des images de quelques personnes travaillant dans le bureau.
Pour finir, Asa a aidé ZDNet à assembler l’histoire de Mozilla et de Firefox, qui donne un aperçu des contributions d’Asa au cours des années.
Merci à Roseman pour les liens.
Commentaires fermés sur ZDNet UK visite la fondation Mozilla
Mise à jour :Chase Phillips écrit : « En plus, Firefox 1.0.6 a été publié simultanément en 28 versions locales ! Merci à tous ceux qui ont rendu un tel exploit possible, y compris les équipes de localisation ! »
Les notes prises lors de la réunion de l’équipe dirigeante de Mozilla.org tenue le lundi 11 juillet 2005 sont maintenant en ligne. Les sujets discutés comportent Mozilla Firefox 1.0.5, Deer Park alpha 2, le nouveau système de mise à jour des applications, le calendrier des 1.1 bêta 1, les transitions de serveurs, les noms de domaine internationalisés (IDN), l’embauche de nouveaux employés et les serveurs de news.
Commentaires fermés sur Notes de la réunion des membres dirigeants de mozilla.org du lundi 11 juillet 2005
Le weblog des Mozilla Developer News a un billet au sujet des plans sur la ramification de Gecko 1.8. Le calendrier actuel exige que l’arbre soit fermé entre le mardi 26 juillet et le mercredi 27 juillet à minuit heure d’été du Pacifique (PDT) (UTC -0700) avec une ramification effective arrivant plus tard dans la journée. Cependant, cette synchronisation est contingente que tout le travail fait sur Mozilla Firefox 1.1 et Mozilla Thunderbird 1.1 soit finalisé.
Toutes les nouvelles versions de test de Firefox 1.1 et de Thunderbird 1.1 viendront de la branche 1.8. Les premières de celles-ci seront Deer Park bêta (Deer Park est le nom de code pour Firefox 1.1) et Thunderbird 1.1 bêta, qui ensemble composeront le milestone 1.8 bêta 4. Ces deux versions seront plus largement diffusées que les 1.1 alpha afin d’obtenir des tests complets.
Avant la version finale de Firefox 1.1, il y aura au moins deux versions candidates du navigateur disponibles pour évaluation. Ces versions porteront la stratégie de marque de Firefox, plutôt que le nom Deer Park. Nous avons appris qu’au moment de la version finale Firefox 1.1, la branche se verrait affecter le tag Mozilla 1.8.
Bien que le billet ne l’indique pas explicitement, nous nous attendons à ce qu’il y ait également des versions candidates de Thunderbird 1.1. Si les précédentes pratiques sont suivies, nous prévoyons que Thunderbird 1.1 sortira un peu plus tard que Firefox 1.1.
Actuellement, le tronc principal du développement est gelé à tous sauf aux enregistrements approuvés venant après le milestone 1.8 bêta 3 (livré comme Deer Park alpha 2 et Thunderbird 1.1 alpha 2). Une fois que la branche 1.8 sera créée, le tronc s’ouvrira au développement de la 1.9, permettant aux développeurs d’enregistrer des modifications majeures.
Mise à jour : Veuillez noter que des versions candidates à Mozilla Thunderbird 1.0.6 et à la suite applicative 1.7.10 sont également disponibles (il n’y aura désormais pas de version 1.7.9 de Mozilla).
Juste quelques jours après les sorties de Mozilla Firefox 1.0.5 et Mozilla Thunderbird 1.0.5, il semble probable que des versions 1.0.6 des deux applications pourraient arriver dès la semaine prochaine. On a cru comprendre que les changements de l’API dans la version 1.0.5 ont involontairement interrompu certaines extensions.
Dans le commentaire 45 du bogue 300028, Rafael Ebron a déclaré hier : « Nous avons reçu des retours sur la 1.0.5 de la part de distributeurs et de développeurs d’extensions sur les changements de l’API qui les touchent (pas un problème de sécurité), donc nous sommes en train de considérer une 1.0.6 pour régler cela. » On sait que l’extension PGP Enigmail pour Thunderbird ne marche pas dans la version 1.0.5.
Pour le moment, les versions 1.0.5 de Firefox et Thunderbird sont uniquement disponibles en anglais américain (en-US). Aucune version localisée n’a été mise en ligne pour téléchargement et les équipes de localisation ont été invitées à ne plus faire de travail supplémentaire sur les versions 1.0.5. Il semble que ces éditions localisées de la 1.0.5 seront entièrement sautées, la prochaine version localisée étant la 1.0.6.
De nombreux traducteurs ne sont pas contents de cette situation. Certains se sont plaints du manque d’information claire donnée par la fondation Mozilla et ont exprimé la crainte que leurs utilisateurs soient vulnérables à plusieurs failles de sécurité publiées. Un certain nombre de messages ont été postés dans le bogue 300028 (créé pour recenser les parutions des localisations de Firefox 1.0.5) et le groupe de discussion netscape.public.mozilla.l10n (l10n est une abréviation de localisation).
« SVP, arrêtez d’être si vague ! Dites-nous juste quel est le problème ! » a imploré Marek Stepien, qui travaille sur la localisation polonaise, dans un message au groupe de discussion netscape.public.mozilla.l10n sur la situation de la localisation de Firefox 1.0.5. « Nous recevons beaucoup de courriels d’utilisateurs de Firefox en Pologne nous demandant pourquoi Firefox 1.0.5 n’est pas disponible en polonais (et nous, l’équipe l10n sommes accusé du retard). Les journlistes nous ont également posé les mêmes questions… Quelques jours de plus et ça va être un important désastre de relations publiques pour Firefox hors des Etats-Unis. »
Zbigniew Braniecki a exprimé des sentiments semblables dans le commentaire 38 du bogue 3000028 : « Nous recueillons une très mauvaise presse, nous sommes condamnés par les utilisateurs, nous n’avons aucune justification pour expliquer ceci, nous ne savons comment expliquer ceci aux journalistes qui nous interrogent sur le problème… Des dizaines de millions d’utilisateurs utilisent toujours la version 1.0.4 alors que des bogues de sécurité critiques sont déjà publiés depuis la sortie de [la] version 1.0.5 en-US. Je voudrais dire que cela semble complètement ignoré par [la] fondation Mozilla et avec de tels retards vous dilapidez [l’]énorme somme de travail que les équipes l10n fournissent pour promouvoir nos marques sur les marchés locaux. »
Le site de marketing communautaire de la fondation Mozilla Spread Firefox a été piraté. Selon une annonce sur Spread Firefox à propos de l’attaque, il semble que le site a été compromis dans une tentative d’envoi de spam. « Il ne semble pas que l’agresseur ait accédé à des données personnelles sur le site », dit le message, « mais pour être sûr, nous encourageons tous nos utilisateurs à se connecter et à changer leurs mots de passe. »
WebProNews a une copie d’un courriel sur l’attaque expédié aux membres de Spread Firefox. L’email semble être un peu moins certain qu’aucune donnée personnelle n’ait été volée, déclarant qu’« il est possible que les agresseurs aient acquis des informations sur les utilisateurs du site fournies au site ». Ces informations pourraient comprendre « un véritable nom, une URL, une adresse email, des noms de messageries instantanées, une adresse domiciliaire, une date de naissance et des messages privés aux autres utilisateurs. »
Selon la chronologie donnée dans le courriel, l’attaque a eu lieu dimanche et a été découverte mardi. La fondation Mozilla a alors désactivé le site, le ramenant en ligne aujourd’hui avec des nouvelles de la compromission. Le message rassure les utilisateurs en disant que Spread Firefox seulement a été piraté ; les autres sites de la fondation Mozilla et les logiciels de Mozilla n’ont pas été touchés.
