Roseman nous a écrit pour nous informer que Blogcritics.org a une critique de Firefox Secrets, le nouveau livre de SitePoint sur Mozilla Firefox par Cheah Chu Yeow. La majeure partie de la courte critique donne un aperçu des différents chapitres mais l’attention est aussi attirée sur quelques-unes des erreurs et défauts du livres.
Plus tôt ce moi-ci, nous avons publié un article avec plus de détails sur Firefox Secrets et Hacking Firefox, un autre livre récent sur Firefox. (Veuillez remarquer que la critique de Blogcritics.org qui y est mentionnée est différente de celle-ci.) NDT : Nous avons aussi rapporté il y a une dizaine de jours la publication de livres en français, dont XUL pour les programmeurs et Firefox à 200 %.
Commentaires fermés sur Blogcritics.org examine Firefox Secrets
DeveloperWorks d’IBM a un article sur les fonctionnalités XML de Mozilla Firefox 1.5. En plus de naturellement couvrir XML et XHTML, le texte donne également un bref aperçu des technologies basées sur XML comme SVG, MathML, ECMAScript pour XML (E4X), XSLT, XForms et Extensible Tag Framework (XTF). L’article est le premier d’une série, ainsi nous présumons que les parties suivantes rentreront plus dans le détail.
Mise à jour : La résolution automatique de vieux bogues non confirmés a été à l’origine prévue pour avril 2005, et non pas pour mars comme cité ci-dessus.
Commentaires fermés sur Résolution automatique de vieux bogues non confirmés – première étape terminée
Le document, qui est actuellement plutôt maigre, dresse le plan de base pour l’extension d’agenda et d’emploi du temps pour Mozilla Thunderbird, en définissant les objectifs de Lightning 0.1 (envisagé pour novembre de cette année), de Lightning 0.2 et pour le futur.
La feuille de route précise que Lightning 0.1 devrait n’avoir aucun bogue de perte de données et être « en gros fonctionnellement utilisable en tant que dogfood (NDT : version à usage interne quotidien qui n’a cependant même pas la qualité d’une version bêta) » en fonctionnant avec les agendas locaux et ceux accessibles par WebDAV. Il y a une liste de tâches distincte pour Lightning 0.1. Elle comprend des projets de compilations nocturnes et d’au moins une version Release Candidate. En se projetant dans l’avenir, Lightning 0.2 devrait avoir une meilleure intégration avec Thunderbird (y compris la possibilité de lier des tâches aux courriels et le support de l’IMAP) et proposer un fonctionnalité de CalDAV améliorée. Les projets d’avenir comprennent le support de la localisation, une méthode de mise en cache des agendas pour une utilisation hors-ligne et la synchronisation avec les appareils.
Hier, Doug Turner a annoncé la sortie de Minimo 0.009. Cette dernière version Windows CE du navigateur pour ordinateurs de poche et téléphones cellulaires portatifs est 8,5 % plus petite que Minimo 0.008 et ajoute le support du Social Bookmark, un début de boîte de dialogue des préférences et le support des protocoles externes dans les URL (comme ceux utilisés pour faire des appels téléphoniques). Minimo 0.009 introduit également des petits écrans de dialogues PKI (utilisés pour des avertissements de sécurité et plus encore) et un meilleur rendu des polices et le support de l’Unicode. Plusieurs autres bogues ont été également corrigés.
Doug attribuera des articles Mozilla aux trois premières personnes qui enregistreront dix bogues non identiques pour Minimo 0.009 sur Windows CE. Ceux qui souhaitent participer doivent envoyer leurs numéros de bogues à Doug.
Minimo 0.009 a été diffusé le 21 septembre, la date exacte présentée dans la mini feuille de route de Minimo publiée le mois dernier. La prochaine version, Minimo 0.010, est programmée pour le 26 octobre, avec d’autres révisions attendues en novembre et décembre.
Doug avait récemment recherché pourquoi Minimo ne démarrait pas sur certains systèmes Windows CE, en particulier le Dell Axim X50v. Le problème semble être provoqué par des questions de mémoire et la réduction de la taille de l’exécutable de Minimo permet à l’application de démarrer correctement. Cependant, il y a une limite au dégré auquel la taille de l’exécutable peut être réduite sans enlever des fonctionnalités essentielles, qui crée d’autres complications. Pour avoir une meilleure idée sur quels périphériques Minimo peut ou ne pas fonctionner, Doug a créé une matrice de compatibilité des périphériques Windows CE et Minimo et accepte volontier des contributions supplémentaires.
L’exploit, créée par Berend-Janv. « SkyLined » Wever, peut être utilisé contre des versions vulnérables de Mozilla Firefox, la suite Mozilla et le navigateur Netscape 8. Les dernières versions de Firefox 1.0.7 et Mozilla 1.7.12, qui ont été mises à disposition au cours des derniers jours, ne sont pas affectées étant donné qu’elles intègrent toutes deux un correctif de la faille. Cependant, il n’y a aucun correctif disponible pour le navigateur Netscape 8 (actuellement en version 8.0.3.3), cependant l’exploit fonctionne apparemment moins bien avec ce navigateur.
Brian Krebs l’auteur de Security Fix dit que « le code est conçu pour être inclus sur un site Web de sorte que n’importe quel ordinateur (sic) visitant le site malveillant avec Firefox ou Netscape ouvre une ligne de communication avec un autre adresse Internet au choix de l’attaquant, laissant effectivement de mauvais garçons contrôler à distance l’ordinateur de la victime. » Il cite FrSIRT comme source de cette analyse mais la copie de FrSIRT du code de PwnZilla 5 ne semble pas inclure cette information.
SkyLined l’auteur de l’exploit crédite plusieurs personnes de l’avoir aidé à la création de PwnZilla 5. Dans sa description du code, il dit, « puisque Netscape n’a pas répondu aux rapports au sujet de cette vulnérabilité j’ai choisi de le diffuser. » Cependant, il continue de le qualifier en déclarant que l’exploit est optimisé pour Firefox (qui a une version avec le correctif disponible) et fonctionne rarement avec Netscape (lequel n’en a pas).
La semaine dernière, CNET News.com a averti que des hackers travaillaient probablement aux exploits de la faille IDN. La vulnérabilité a été à l’origine rapportée à la fondation Mozilla par Tom Ferris, qui a choisi de la rendre publique avant que des versions corrigées de Firefox et de la suite Mozilla soient diffusées. John Stith journaliste de SecurityProNews a interviewé Tom Ferris au sujet de la vulnérabilité IDN la semaine dernière, donne plus de compréhension sur pourquoi Ferris a choisi de publier les détails de la faille. L’article de Stith déclare : « il [ Ferris ] a également commenté que quand il a initialement soumis toute l’information à Mozilla, ils semblaient en désaccord et il s’est senti offensé par eux… Microsoft l’a toujours »traité davantage comme un professionnel. « Il dit qu’il a estimé que les gens de chez Mozilla l’ont traité davantage comme un gosse. »
Merci à Roseman pour le lien sur le billet weblog Security Fix.
Commentaires fermés sur PwnZilla 5 exploite le débordement de tampon des liens IDN
Mozilla 1.7.12, une mise à jour de sécurité et de stabilité de la suite applicative Mozilla, est maintenant disponible au téléchargement. Des correctifs sont inclus pour la vulnérabilité de dépassement de mémoire tampon pour les liens avec IDN et la faille de sécurité d’analyse d’URL de la ligne de commande de Linux. Il y a aussi d’autres modifications de sécurité et de stabilité, dont un correctif pour un plantage éprouvé en utilisant certains scripts Proxy Auto-Config. En outre, quelques régressions introduites par de précédentes mises à jour de sécurité pour les 1.7.x ont été résolues. Si cette description ressemble à notre article sur Mozilla Firefox 1.0.7, c’est parce que la plupart des correctifs compris dans les deux versions sont les mêmes.
Mise à jour : La page des vulnérabilités connues a été mise à jour et trois bulletins de sécurité concernant Mozilla 1.7.12 ont été publiés : MFSA 2005-57 couvre le dépassement de mémoire tampon pour les liens avec IDN, MSFA 2005-59 discute de la faille de sécurité d’analyse d’URL de la ligne de commande de Linux et MSFA 2005-58 répertorie les autres correctifs de sécurité de cette version. Merci à Juha-Matti Laurio pour les nouvelles.
