Hier, Doug Turner a annoncé la sortie de Minimo 0.009. Cette dernière version Windows CE du navigateur pour ordinateurs de poche et téléphones cellulaires portatifs est 8,5 % plus petite que Minimo 0.008 et ajoute le support du Social Bookmark, un début de boîte de dialogue des préférences et le support des protocoles externes dans les URL (comme ceux utilisés pour faire des appels téléphoniques). Minimo 0.009 introduit également des petits écrans de dialogues PKI (utilisés pour des avertissements de sécurité et plus encore) et un meilleur rendu des polices et le support de l’Unicode. Plusieurs autres bogues ont été également corrigés.
Doug attribuera des articles Mozilla aux trois premières personnes qui enregistreront dix bogues non identiques pour Minimo 0.009 sur Windows CE. Ceux qui souhaitent participer doivent envoyer leurs numéros de bogues à Doug.
Minimo 0.009 a été diffusé le 21 septembre, la date exacte présentée dans la mini feuille de route de Minimo publiée le mois dernier. La prochaine version, Minimo 0.010, est programmée pour le 26 octobre, avec d’autres révisions attendues en novembre et décembre.
Doug avait récemment recherché pourquoi Minimo ne démarrait pas sur certains systèmes Windows CE, en particulier le Dell Axim X50v. Le problème semble être provoqué par des questions de mémoire et la réduction de la taille de l’exécutable de Minimo permet à l’application de démarrer correctement. Cependant, il y a une limite au dégré auquel la taille de l’exécutable peut être réduite sans enlever des fonctionnalités essentielles, qui crée d’autres complications. Pour avoir une meilleure idée sur quels périphériques Minimo peut ou ne pas fonctionner, Doug a créé une matrice de compatibilité des périphériques Windows CE et Minimo et accepte volontier des contributions supplémentaires.
Mozilla 1.7.12, une mise à jour de sécurité et de stabilité de la suite applicative Mozilla, est maintenant disponible au téléchargement. Des correctifs sont inclus pour la vulnérabilité de dépassement de mémoire tampon pour les liens avec IDN et la faille de sécurité d’analyse d’URL de la ligne de commande de Linux. Il y a aussi d’autres modifications de sécurité et de stabilité, dont un correctif pour un plantage éprouvé en utilisant certains scripts Proxy Auto-Config. En outre, quelques régressions introduites par de précédentes mises à jour de sécurité pour les 1.7.x ont été résolues. Si cette description ressemble à notre article sur Mozilla Firefox 1.0.7, c’est parce que la plupart des correctifs compris dans les deux versions sont les mêmes.
Mise à jour : La page des vulnérabilités connues a été mise à jour et trois bulletins de sécurité concernant Mozilla 1.7.12 ont été publiés : MFSA 2005-57 couvre le dépassement de mémoire tampon pour les liens avec IDN, MSFA 2005-59 discute de la faille de sécurité d’analyse d’URL de la ligne de commande de Linux et MSFA 2005-58 répertorie les autres correctifs de sécurité de cette version. Merci à Juha-Matti Laurio pour les nouvelles.
L’exploit, créée par Berend-Janv. « SkyLined » Wever, peut être utilisé contre des versions vulnérables de Mozilla Firefox, la suite Mozilla et le navigateur Netscape 8. Les dernières versions de Firefox 1.0.7 et Mozilla 1.7.12, qui ont été mises à disposition au cours des derniers jours, ne sont pas affectées étant donné qu’elles intègrent toutes deux un correctif de la faille. Cependant, il n’y a aucun correctif disponible pour le navigateur Netscape 8 (actuellement en version 8.0.3.3), cependant l’exploit fonctionne apparemment moins bien avec ce navigateur.
Brian Krebs l’auteur de Security Fix dit que « le code est conçu pour être inclus sur un site Web de sorte que n’importe quel ordinateur (sic) visitant le site malveillant avec Firefox ou Netscape ouvre une ligne de communication avec un autre adresse Internet au choix de l’attaquant, laissant effectivement de mauvais garçons contrôler à distance l’ordinateur de la victime. » Il cite FrSIRT comme source de cette analyse mais la copie de FrSIRT du code de PwnZilla 5 ne semble pas inclure cette information.
SkyLined l’auteur de l’exploit crédite plusieurs personnes de l’avoir aidé à la création de PwnZilla 5. Dans sa description du code, il dit, « puisque Netscape n’a pas répondu aux rapports au sujet de cette vulnérabilité j’ai choisi de le diffuser. » Cependant, il continue de le qualifier en déclarant que l’exploit est optimisé pour Firefox (qui a une version avec le correctif disponible) et fonctionne rarement avec Netscape (lequel n’en a pas).
La semaine dernière, CNET News.com a averti que des hackers travaillaient probablement aux exploits de la faille IDN. La vulnérabilité a été à l’origine rapportée à la fondation Mozilla par Tom Ferris, qui a choisi de la rendre publique avant que des versions corrigées de Firefox et de la suite Mozilla soient diffusées. John Stith journaliste de SecurityProNews a interviewé Tom Ferris au sujet de la vulnérabilité IDN la semaine dernière, donne plus de compréhension sur pourquoi Ferris a choisi de publier les détails de la faille. L’article de Stith déclare : « il [ Ferris ] a également commenté que quand il a initialement soumis toute l’information à Mozilla, ils semblaient en désaccord et il s’est senti offensé par eux… Microsoft l’a toujours »traité davantage comme un professionnel. « Il dit qu’il a estimé que les gens de chez Mozilla l’ont traité davantage comme un gosse. »
Merci à Roseman pour le lien sur le billet weblog Security Fix.
Commentaires fermés sur PwnZilla 5 exploite le débordement de tampon des liens IDN
Mozilla Firefox 1.0.7, une mise à jour de sécurité et de stabilité du navigateur phare de Mozilla, est maintenant disponible au téléchargement. Des correctifs son inclus pour le dépassement de mémoire tampon pour les liens IDN et la faille de sécurité d’analyse d’URL de la ligne de commande sous Linux. Il y a également d’autres changements de sécurité et de stabilité, incluant un correctif pour un plantage éprouvé en utilisant certains scripts Proxy Auto-Config. En outre, quelques régressions présentées par de précédentes mises à jour de sécurité 1.0.x ont été résolues.
La fondation Mozilla a précédemment publié un correctif pour Firefox 1.0.6 qui protégeait les utilisateurs contre la faille de dépassement de mémoire tampon pour les liens IDN aux dépens de la suppression du support des IDN. Firefox 1.0.7 a une solution plus permanente qui n’implique pas de désactiver la fonctionnalité IDN et tous les utilisateurs qui ont installé la rustine constateront que le support des IDN est restauré lorsqu’ils mettront à niveau.
Une mise à jour équivalente de la suite Mozilla, Mozilla 1.7.12, est prévue sous peu.
Mise à jour : La page des vulnérabilités connues a été mise à jour et trois bulletins de sécurité concernant Firefox 1.0.7 ont été publiés : MFSA 2005-57 couvre le dépassement de mémoire tampon pour les liens avec IDN, MSFA 2005-59 discute de la faille de sécurité d’analyse d’URL de la ligne de commande de Linux et MSFA 2005-58 répertorie les autres correctifs de sécurité de cette version. Merci à Juha-Matti Laurio pour les nouvelles.
Commentaires fermés sur Sortie de Mozilla Firefox 1.0.7
Une vulnérabilité critique de sécurité de validation d’entrée affectant les versions Linux de Mozilla Firefox et la suite Mozilla a été rapportée aujourd’hui. La faille pourrait permettre à un attaquant d’exécuter diverses commandes sur le système d’une victime. Le bogue existe dans les scripts du shell Linux dont Firefox et la suite Mozilla dépendent pour analyser les URL fournies à la ligne de commande ou par des programmes externes. Si l’URL fournie contient des commandes Linux insérées entre des backticks, celles-ci seront exécutées avant que Firefox ou la suite Mozilla essaye d’ouvrir l’URL. Des variables telles que $HOME seront aussi interprétées.
Bien que cette faille ne puisse pas être exploitée exclusivement dans Firefox ou la suite Mozilla eux-mêmes, un attaquant pourrait tirer profit de la vulnérabilité en dupant une victime en la faisant suivre un lien hostile dans un programme externe (disons un client de messagerie ou une application de messagerie instantanée) sur un système Linux où Firefox ou la suite Mozilla est le navigateur par défaut.
Par exemple, considérez un utilisateur Linux qui utilise Firefox comme son navigateur Web par défaut et Mozilla Thunderbird comme son client de messagerie par défaut. Un attaquant a pu envoyer un courriel à cet utilisateur contenant un lien vers http://local`find`host. Quand l’utilisateur clique sur ce lien dans Thunderbird, le script shell d’analyse des URL de Firefox sera appelé et exécutera la commande find avant d’appeler Firefox pour ouvrir l’URL. Les utilisateurs peuvent éviter cette vulnérabilité en ne suivant par les liens des programmes externes, en particulier les liens suspects trouvés dans les courriels, messages instantanés ou conversations de chat.
Mise à jour : Peter Zelezny a rempli le bogue 307185 mardi 6 septembre, pas mardi 20 septembre comme indiqué ci-dessus. Merci à Juha-Matti Laurio pour la correction.
Laurent Jouanneau annonce la publication d’un livre destiné aux programmeurs d’applications utilisant les technologies associées à Mozilla. Reprenant comme titre « XUL » – l’acronyme désignant le langage à grammaire XML de description des interfaces graphiques mis au point par Mozilla – le livre de 304 pages est publié par les Editions Eyrolles dans la collection Les cahiers du programmeur. Il est signé de Jonathan Protzenko et Benoît Picaud.
Deux nouveaux livres sur Mozilla Firefox ont été publiés récemment. Firefox Secrets de Cheah Chu Yeow a été lancé par SitePoint en juillet, tandis qu’août a vu la sortie de Hacking Firefox de Mel Reyes chez Wiley.
Firefox Secrets pèse 297 pages et couvre à la fois les fonctionnalités de base de Firefox et des trucs et astuces évolués pour utilisateurs avancés. Il y a aussi du contenu pour développeurs Web, avec des indications pour la console JavaScript, le DOM Inspector et les outils d’information sur la page. Le livre comprend aussi un CD-ROM contenant Firefox, Mozilla Thunderbird et quelques extensions et thèmes sélectionnés.
L’auteur Cheah Chu Yeow n’est pas un novice concernant Firefox : depuis plusieurs années, il publie un blog à l’adresse blog.codefront.net (qui semble être tombé en ce moment) où il poste souvent des articles concernant Mozilla. Les autres personnes qui ont participé au livre seront aussi familiers de la communauté Mozilla : Asa Dotzler a assuré la fonction d’expert relecteur, tandis que le rédacteur technique a été feu Nigel McFarlane.
Le site de Firefox Secrets de SitePoint vous donnera quelques chapitres d’exemple au format PDF en échange de votre adresse email (bien que ça ait pris un moment pour que nos extraits arrivent, nous avons uniquement reçu un courriel supplémentaire depuis lors et ce fut à propos du livre). Le fichier PDF contient tout le chapitre deux, Essential Browsing Features, et des extraits des chapitres six et sept, Tips, Tricks, and Hacks et Web Development Nirvana. D’autres parties, comme la table des matières et l’index, y sont aussi comprises, conduisant à ce que l’échantillon fasse 119 pages en tout.
Hacking Firefox, qui porte le sous-titre More Than 150 Hacks, Mods, and Customizations, est l’ouvrage le plus substantiel, montant jusqu’à 430 pages. Résolument destiné aux utilisateurs avancés, le livre couvre des sujets tels qu’arranger l’interface de Firefox, améliorer les performances et créer des extensions. Bien que Mel Reyes soit cité comme auteur de ce livre, plusieurs autres membres de la communauté Mozilla y ont contribué, dont le développeur d’extensions Alex Sirota (créateur de FoxyTunes) et le prolifique auteur de thèmes Aaron Spuler. L’avant-propos a été rédigé par Blake Ross. Mel publie hackingfirefox.com, un site d’accompagnement du livre et Alex a sa propre page sur Hacking Firefox.
Le site Hacking Firefox de Wiley a un chapitre d’exemple de 14 pages à télécharger au format PDF (c’est le premier chapitre, Hacking Firefox Boot Camp). La table des matières, l’index et le code qui accompagne le livre peuvent aussi être obtenus. Hacking Firefox porte la marque ExtremeTech, donc ce n’est pas une surprise que le site technologique populaire dispose de deux extraits en ligne. Le premier, Hacking Firefox Extensions, a des détails techniques sur la manière dont fonctionnent les extensions, tandis que le second, Hacking Firefox : Speed Up Your Browser, se concentre principalement sur la modification des préférences cachées pour le réseau afin d’améliorer les performances. Merci à roseman pour les liens vers les deux.
Les éditeurs se bousculent actuellement pour remplir les étagères des utilisateurs de Mozilla. Le site d’hébergement de projets relatifs à Mozilla mozdev maintient une liste de livres sur Mozilla qui contient trois nouveaux livres prévus pour sortir ce mois-ci : Mozilla Firefox : Introductory Concepts and Techniques, Firefox and Thunderbird (un livre d’O’Reilly) et Pro Firefox Extension and Application Development. Le livre de Blake Ross, Firefox for Dummies, est attendu pour une publication en octobre.
NDT : N’oubliez pas les livres concernant Mozilla en français dont nous vous parlons ce dimanche, dont XUL pour les programmeurs et Firefox à 200 % qui pousse loin l’exploration des capacités de Firefox.
Commentaires fermés sur Firefox Secrets et Hacking Firefox sont publiés
