Tristan Nitot écrit : « Mozilla Europe examinait depuis quelques temps déjà l’occasion de propager Firefox par des moyens innovants, y compris le marketing viral. Alors que les animations en Flash ont été un choix évident, nous avons rencontré une agence de publicité française qui a fait trois courtes vidéos situées sur http://funnyfox.org/ en affrontant nos ambitions en termes de (très petit) budget et de capacité à être compris par la grande majorité des Européens qui ont des difficultés à comprendre l’anglais (c’est pour ça qu’il n’y a pas de dialogues dans les trois films). Amusez-vous et passez le mot ! »
NDT : Il y a quelques jours, ZDNet France a parlé de cette campagne mais sans interview de Tristan Nitot. Les fans du nouveau directeur du marketing de Mozilla Europe peuvent le retrouver en français dans un article de VNUnet. Dans la presse francophone, on en a parlé aussi sur l’Atelier.fr, sur Silicon.fr et sur Branchez-Vous! qui a même traduit les titres des films. Avant eux, Jérôme Bouteiller dans NetEconomie précisait que « cette collaboration [avec Eric Pozzo] semble être née très simplement lorsque Tristan Nitot, en charge de Mozilla Europe, a vu l’une des créations de l’agence pour Orange (The Microwave). Les deux hommes se sont rencontrés en janvier dernier et il n’aura fallu que quelques mois pour finaliser et lancer le projet. » Tristan a une revue de presse internationale mise à jour sur son blog (censé être fermé).
Commentaires fermés sur Vidéos de marketing viral de Mozilla Firefox
Mozilla 1.7.8 a été publié pour corriger quelques vulnérabilités connues (MFSA 2005-42, MSFA 2005-43 et MSFA 2005-44). Comme nous l’avons indiqué auparavant, bien que la fondation Mozilla ne prévoit plus d’autres versions milestone de la suite applicative Mozilla, ils se sont engagés à fournir des mises à jour critiques pour la ligne 1.7.x tant que ce sera approprié.
NDT : Mozilla 1.7.8 est aussi disponible en français pour Windows et Linux, ainsi qu’en un pack XPI de francisation des versions originales de Mozilla 1.7.8.
Rafael Ebron nous à envoyé ce qui ressemble à la parole officielle de la fondation Mozilla sur le 1.0.4 : « Firefox 1.0.4 est une mise à jour de sécurité pour résoudre les vulnérabilités récemment rapportées. A notre connaissance, aucun utilisateur n’a été défavorablement affecté par ces vulnérabilités.
« Une validation de concept (Proof of concept) a été rapportée la semaine dernière (week-end de Fête de mères) et Mozilla a immédiatement pris des mesures pour empêcher des exploits actifs par l’intermédiaire de modifications appliquées au service Web Mozilla Update. Nous avons également publié une solution de contournement pour que les utilisateurs puissent en plus se protéger eux-mêmes en désactivant temporairement l’installation automatique depuis un site Web.
« La fondation Mozilla est profondément investie pour fournir une expérience Internet sûre et sécurisée et rester en avance sur d’éventuels exploits. La fondation prend la sécurité très au sérieux et sort Firefox 1.0.4 pour s’assurer que nous continuions à apporter aux utilisateurs l’expérience dans laquelle ils ont confiance. »
InformationWeek a un reportage sur ce que l’avenir réserve à Mozilla Thunderbird. L’article se focalise sur l’extension d’agenda Lightning, dont il annonce qu’il devrait être prêt pour la fin de l’année. En attendant, le développeur en chef de Thunderbird Scott MacGregor est cité lorsqu’il dit que Thunderbird 1.1 sortira en juillet et comprendra des fonctions de détection du phishing, la possibilité de retirer les pièces jointes des messages reçus et un meilleur support de la gestion des serveurs SMTP multiples. L’article est complété par quelques statistiques de téléchargement et des détails sur les organisations qui ont adopté Thunderbird, y compris l’université d’Harvard, la Stern School of Business de l’université de New-York et une entreprise parmi les 100 de Fortune dont le nom n’est pas révélé. Merci à Roseman pour le lien.
Mise à jour 2 : Si tout va bien les versions finales de la Release Candidate 1.0.4 sont maintenant disponibles. La fondation Mozilla espère diffuser la mise à jour mercredi soir.
Commentaires fermés sur Mozilla Firefox 1.0.4 Release Candidates
Robert Wiblin nous a écrit pour nous informer que Firemonger 1.04 est sorti. Firemonger offre une image CD pour Windows téléchargeable Mozilla Firefox 1.0.3 et Mozilla Thunderbird 1.0.2 équipés de quelques plugins, extensions et thèmes populaires (voir la page des téléchargements de Firemonger pour une liste). Cette nouvelle version vient juste quelques jours après la sortie de Firemonger 1.03.
Firemonger 1.04 propose des instructions révisées et comprend un guide du débutant avec des images. Il y a aussi une brève publicité en vidéo pour Firefox créée par Eric Edwards incluse. Le CD peut être téléchargé soit comme une image de CD soit comme un fichier Zip. Il y a également maintenant une version Lite disponible, qui ne comprend pas de plugins ni la publicité en vidéo.
Robert ajoute : « Nous avons toujours des projets pour des portages vers Mac et Linux, aussi bien que davantage de traductions, en association avec MozCD et peut-être en utilisant Portable Firefox Live. SVP, rejoignez la discussion sur les forums ou ajoutez notre fil RSS de sorte que vous connaissiez le moment où nous ferons notre prochaine mise à jour. Nous accueillons toujours volontiers de nouveaux traducteurs ou des propositions d’aide ! »
Commentaires fermés sur Le CD Firemonger 1.04 est sorti
Mozilla Europe, la filiale européenne de Mozilla Foundation, a embauché Tristan Nitot et Peter Van der Beken sur la base d’un plein temps. Tristan et Peter ont été membres du conseil d’administration de Mozilla Europe depuis que l’organisme a été créé en 2004, avec Tristan comme président du groupement. Tous deux sont des contributeurs à Mozilla de longue date et ont travaillé pour Netscape par le passé.
Hier, nous avons rapporté qu’ une vulnérabilité d’exécution de code arbitraire a été découverte dans Mozilla Firefox. Aujourd’hui, la fondation Mozilla a édité le communiqué de sécurité MFSA 2005-42, que nous recommandons vivement à tous nos lecteurs d’analyser attentivement. En résumé, il y a deux problèmes indépendants qui peuvent être combinés pour exécuter un code arbitraire sur l’ordinateur d’une victime : un concernant l’injection de code Javascript et un autre impliquant l’URL d’icône utilisée dans la boîte de dialogue d’installation d’un logiciel. Cependant, comme décrit ci-dessous, la capacité d’exécuter un code arbitraire n’est plus une menace pour la plupart des utilisateurs.
La première faille est la moins sérieuse, bien qu’elle puisse potentiellement conduire au vol de données sensibles et facilite l’exploitation de la deuxième faille. La vulnérabilité permet à un site hostile d’utiliser les cadres (frames) et Javascript pour injecter du code JavaScript dans un autre site. Ceci permet au site hostile de voler des données comme les cookies ou d’effectuer des actions telles que lancer la boîte de dialogue d’installation d’un logiciel sans être sur la liste des sites autorisés à installer un logiciel de l’utilisateur (notez que ceci ne permet pas au logiciel d’être installé sans une intervention de l’utilisateur). Cette faille affecte Mozilla Firefox et la suite Mozilla et peut être éliminée en désactivant le JavaScript.
La deuxième faille est plus sérieuse et implique la boîte de dialogue d’installation d’un logiciel, qui est utilisée pour demander à l’utilisateur s’il souhaite installer un logiciel (comme une extension) à partir d’un site Web. Dans Mozilla Firefox (mais pas dans la suite Mozilla), cette boîte de dialogue peut inclure une icône, donnée par le site sous la forme d’une URL d’un fichier image. En raison d’une vérification insuffisante, cette URL d’icône peut être en fait un bout de code Javascript, lequel est exécuté sans autre sollicitation. Puisque ce code est effectivement exécuté depuis la boîte de dialogue d’installation du logiciel, plutôt que depuis une page Web, il est exécuté avec les « pleins privilèges du chrome », ce qui veut dire qu’il peut faire tout ce que l’utilisateur faisant fonctionner Firefox peut faire, dont installer un logiciel ou supprimer des fichiers. C’est la faille la plus sérieuse, permettant l’exécution d’un logiciel, et elle affecte uniquement Mozilla Firefox. Elle peut être empêchée en désactivant l’installation des logiciels.
Seule, la deuxième faille peut uniquement être exploitée par un site de la liste des sites autorisés à installer un logiciel de l’utilisateur. Cependant, un site hostile peut combiner les première et deuxième attaques pour exécuter un code arbitraire s’il connaît les détails d’un des sites de la liste des sites autorisés. Dans une installation standard de Firefox, seuls les sites de Mozilla Update (update.mozilla.org et addons.mozilla.org) se trouvent sur la liste des sites autorisés par défaut. Ceci a permis à la fondation Mozilla d’appliquer un changement côté serveur qui empêche des attaquants d’exploiter la faille d’exécution de code en utilisant ses systèmes. Par conséquent, si vous n’avez pas ajouté de sites supplémentaires dans la liste des sites autorisés, vous n’êtes pas exposé à l’exploit d’exécution de code et ne l’êtes pas depuis hier. Cependant, vous serez toujours vulnérable à la faille moins sérieuse d’injection Javascript.
Le changement côte serveur fait à Mozilla Update et les solutions de contournement décrites dans le MFSA 2005-42 (si vous ne l’avez toujours pas lu, veuillez le faire) sont des mesures provisoires. Nous avons appris que la fondation Mozilla teste actuellement des versions qui incluent une meilleure solution à ce problème, ainsi nous comptons qu’une mise à jour de sécurité sera publiée sous peu.
Commentaires fermés sur Plus de détails sur la vulnérabilité d’exécution de code arbitraire
Une faille de sécurité qui permet à un site malveillant d’exécuter du code arbitraire sur le système d’un utilisateur a été découverte dans Mozilla Firefox. Secunia a probablement l’une des descriptions les plus précises et concises de la vulnérabilité d’exécution de code. Il semble être la première faille « extrêmement critique » de Firefox répertoriée par Secunia.
L’alerte explique qu’une attaque réussie implique d’exploiter deux failles : l’une nécessite de ruser pour amener Firefox à penser qu’une installation de logiciel est déclenchée par un site en liste blanche, alors que l’autre se fonde sur le déclencheur d’installation de logiciels qui ne vérifie pas suffisamment les URL d’icônes contenant du code JavaScript. L’alerte de Secunia suggère de désactiver le JavaScript comme solution de contournement ; cependant, simplement désactiver l’installation des logiciels (Panneau Fonctionnalités Web de la fenêtre Options/Préférences dans Firefox 1.0.3 ou le panneau Content dans les dernières compilations du tronc) élimine le problème. Nous avons appris qu’un changement fait à Mozilla Update a rendu la vulnérabilité efficacement inexploitable si vous avez seulement update.mozilla.org et addons.mozilla.org dans votre liste blanche d’installation de logiciels (accessible depuis les panneaux Fonctionnalités Web ou Content dans la fenêtre Options/Préférences), ce qui est la configuration par défaut.
La vulnérabilité a été découverte par Paul du Greyhats Security Group et Michael « mikx » Krax. Paul a écrit une explication technique détaillée de la façon dont l’exploit fonctionne. Sur une page particulièrement fabriquée, l’attaquant emploie d’abord des cadres et une faille JavaScript de l’historique pour faire qu’il semble qu’une installation de logiciel est déclenchée depuis addons.update.mozilla.org, un des quelques sites autorisés par défaut à installer des logiciels. Avec cet obstacle écarté, l’attaquant peut essayer de faire de réels dommages. Un des paramètres transmis au procédé d’installation de logiciels est une URL d’icône, qui peut être un morceau de code de JavaScript. Comme le JavaScript est exécuté depuis le chrome (l’interface utilisateur du navigateur plutôt que d’une page Web), il a les « pleins privilèges du chrome » et peut faire tout ce que l’utilisateur faisant fonctionner Firefox peut faire. L’attaquant peut donc transmettre du JavaScript malveillant et exécuter du code sur le système de la victime.
La vulnérabilité exige de l’attaquant de déclencher une installation qui semble venir d’un site en liste blanche. Heureusement, la fondation Mozilla contrôle tous les sites de la liste blanche d’installation de logiciels par défaut, ce qui leur a permis de prendre des mesures préventives en plaçant plus de contrôles dans le code côté serveur de Mozilla Update et déplaçant le site de mise à jour vers un autre domaine. Nous croyons que ceci signifie que les utilisateurs qui n’ont ajouté aucun site supplémentaire à leur liste blanche d’installation de logiciels ne sont plus en danger.
Nous prévoyons que la fondation Mozilla sortira une mise à jour 1.0.4 de Firefox sous peu.
Mise à jour : La fondation Mozilla a publié une alerte de sécurité. Elle dit : « La fondation Mozilla a connaissance de deux vulnérabilités potentiellement critiques pour Firefox, comme publié samedi 7 mai. Il n’y a actuellement aucune utilisation connue de ces vulnérabilités bien qu’une »proof of concept « a été signalée. Des changements ont été effectués sur le service Mozilla Update pour limiter les risques d’utilisation. Mozilla travaille d’arrache-pied pour fournir une solution plus complète à ces vulnérabilités potentielles et fournira cette solution dans le cadre d’une prochaine mise à jour de sécurité. Les utilisateurs peuvent en plus se protéger eux-mêmes aujourd’hui en désactivant temporairement le JavaScript. »
Mise à jour : La fondation Mozilla a publié l’alerte de sécurité de Mozilla Foundation 2005-42, son communiqué officiel sur la vulnérabilité d’exécution de code arbitraire. La solution de contournement officielle est de désactiver le JavaScript.
