jeudi 22 septembre 2005
Mozilla Firefox 1.0.7 en français
Mozilla Firefox 1.0.7 sorti hier pour régler principalement des problèmes de sécurité et de stabilité est disponible dans 21 langues locales dont le français pour Windows, Mac OS X et Linux.
Site archivé depuis 2020. Les contenus que vous trouverez ici sont conservés pour le souvenir.
Mozilla Firefox 1.0.7 sorti hier pour régler principalement des problèmes de sécurité et de stabilité est disponible dans 21 langues locales dont le français pour Windows, Mac OS X et Linux.
Mozilla Firefox 1.0.7, une mise à jour de sécurité et de stabilité du navigateur phare de Mozilla, est maintenant disponible au téléchargement. Des correctifs son inclus pour le dépassement de mémoire tampon pour les liens IDN et la faille de sécurité d’analyse d’URL de la ligne de commande sous Linux. Il y a également d’autres changements de sécurité et de stabilité, incluant un correctif pour un plantage éprouvé en utilisant certains scripts Proxy Auto-Config. En outre, quelques régressions présentées par de précédentes mises à jour de sécurité 1.0.x ont été résolues.
La fondation Mozilla a précédemment publié un correctif pour Firefox 1.0.6 qui protégeait les utilisateurs contre la faille de dépassement de mémoire tampon pour les liens IDN aux dépens de la suppression du support des IDN. Firefox 1.0.7 a une solution plus permanente qui n’implique pas de désactiver la fonctionnalité IDN et tous les utilisateurs qui ont installé la rustine constateront que le support des IDN est restauré lorsqu’ils mettront à niveau.
Firefox 1.0.7 peut être téléchargé à partir de la page produit de Firefox ou du répertoire 1.0.7 de Firefox sur ftp.mozilla.org. Les notes de diffusion de Firefox 1.0.7 ont plus de détails au sujet de cette mise à niveau et nous nous attendons à ce que la liste de la fondation Mozilla des vulnérabilités de sécurité connues soit bientôt mise à jour.
Une mise à jour équivalente de la suite Mozilla, Mozilla 1.7.12, est prévue sous peu.
Mise à jour : La page des vulnérabilités connues a été mise à jour et trois bulletins de sécurité concernant Firefox 1.0.7 ont été publiés : MFSA 2005-57 couvre le dépassement de mémoire tampon pour les liens avec IDN, MSFA 2005-59 discute de la faille de sécurité d’analyse d’URL de la ligne de commande de Linux et MSFA 2005-58 répertorie les autres correctifs de sécurité de cette version. Merci à Juha-Matti Laurio pour les nouvelles.
Commentaires fermés sur Sortie de Mozilla Firefox 1.0.7
Une vulnérabilité critique de sécurité de validation d’entrée affectant les versions Linux de Mozilla Firefox et la suite Mozilla a été rapportée aujourd’hui. La faille pourrait permettre à un attaquant d’exécuter diverses commandes sur le système d’une victime. Le bogue existe dans les scripts du shell Linux dont Firefox et la suite Mozilla dépendent pour analyser les URL fournies à la ligne de commande ou par des programmes externes. Si l’URL fournie contient des commandes Linux insérées entre des backticks, celles-ci seront exécutées avant que Firefox ou la suite Mozilla essaye d’ouvrir l’URL. Des variables telles que $HOME seront aussi interprétées.
Bien que cette faille ne puisse pas être exploitée exclusivement dans Firefox ou la suite Mozilla eux-mêmes, un attaquant pourrait tirer profit de la vulnérabilité en dupant une victime en la faisant suivre un lien hostile dans un programme externe (disons un client de messagerie ou une application de messagerie instantanée) sur un système Linux où Firefox ou la suite Mozilla est le navigateur par défaut.
Par exemple, considérez un utilisateur Linux qui utilise Firefox comme son navigateur Web par défaut et Mozilla Thunderbird comme son client de messagerie par défaut. Un attaquant a pu envoyer un courriel à cet utilisateur contenant un lien vers http://local`find`host. Quand l’utilisateur clique sur ce lien dans Thunderbird, le script shell d’analyse des URL de Firefox sera appelé et exécutera la commande find avant d’appeler Firefox pour ouvrir l’URL. Les utilisateurs peuvent éviter cette vulnérabilité en ne suivant par les liens des programmes externes, en particulier les liens suspects trouvés dans les courriels, messages instantanés ou conversations de chat.
Une solution à cette faille a été développée et sera incluse dans les prochaines versions de Firefox 1.0.7 et Mozilla 1.7.12. Le weblog d’assurance qualité de Mozilla a un lien vers une compilation d’une version candidate de Firefox 1.0.7 avec le correctif et quelques instructions de tests. Firefox 1.0.7 et Mozilla 1.7.12 ont été déjà planifiés pour corriger quelques autres failles de sécurité et de stabilité (en particulier, la vulnérabilité récemment publiée du dépassement de mémoire tampon pour les liens IDN).
La faille d’analyse d’URL de Linux a été rapportée par Peter Zelezny, qui a rempli le bogue 307185 aujourd’hui. Secunia a pubié un bulletin sur la question intitulé Firefox Command Line URL Shell Command Injection, qui évalue le bogue comme « extrêmement critique ». Le bulletin sur la faille de FrSIRT, Mozilla Firefox Command Line URL Parsing Code Execution Issue, évalue également le problème comme « critique », la plus élevée de ses quatre estimations. La note de Security Focus, Mozilla Browser/Firefox Arbitrary Command Execution Vulnerability, a une liste plus complète de systèmes affectés. Merci à Roseman et à Juha-Matti Laurio pour les liens des bulletins.
Mise à jour : Peter Zelezny a rempli le bogue 307185 mardi 6 septembre, pas mardi 20 septembre comme indiqué ci-dessus. Merci à Juha-Matti Laurio pour la correction.
Laurent Jouanneau annonce la publication d’un livre destiné aux programmeurs d’applications utilisant les technologies associées à Mozilla. Reprenant comme titre « XUL » – l’acronyme désignant le langage à grammaire XML de description des interfaces graphiques mis au point par Mozilla – le livre de 304 pages est publié par les Editions Eyrolles dans la collection Les cahiers du programmeur. Il est signé de Jonathan Protzenko et Benoît Picaud.
La fiche du livre de la librairie Eyrolles offre de télécharger des fichiers PDF de la table des matières, de l’avant-propos et de la préface du livre. Les Editions Eyrolles proposent aussi le téléchargement du code source brut de XUL Forum et l’auteur Jonathan Protzenko a mis en ligne un site consacré à l’ouvrage avec des « fichiers de configuration, sources »améliorées «, et surtout une version fonctionnelle de XUL Forum que vous pourrez tester directement après installation ! ».
Retrouvez la description de l’éditeur et d’autres infos sur les livres sur Mozilla dans notre article complet.
Le blog Mozilla Quality a les détails de la nouvelle tournée de Mozilla Firefox 1.0.7 et Mozilla 1.7.12 Release Candidates. Ces dernières versions de test contiennent un correctif pour le bogue 308484, qui modifie le comportement de XMLHttpRequest pour améliorer la compatibilité avec les extensions. Le billet de blog a des informations sur les domaines à tester.
Mozilla Firefox 1.0.7 et Mozilla 1.7.12 sont des mises à jour de sécurité conçues pour corriger la vulnérabilité de dépassement de mémoire tampon pour les liens avec IDN et plusieurs autres failles de sécurité. Ils comprendront aussi des améliorations de la stabilité et quelques correctifs de régressions introduites par de précédentes mises à jour de sécurité. Les versions finales 1.0.7 et 1.7.12 sont attendues dans quelques jours.
Commentaires fermés sur D’autres Mozilla Firefox 1.0.7 et Mozilla 1.7.12 Release Candidates
Deux nouveaux livres sur Mozilla Firefox ont été publiés récemment. Firefox Secrets de Cheah Chu Yeow a été lancé par SitePoint en juillet, tandis qu’août a vu la sortie de Hacking Firefox de Mel Reyes chez Wiley.
Firefox Secrets pèse 297 pages et couvre à la fois les fonctionnalités de base de Firefox et des trucs et astuces évolués pour utilisateurs avancés. Il y a aussi du contenu pour développeurs Web, avec des indications pour la console JavaScript, le DOM Inspector et les outils d’information sur la page. Le livre comprend aussi un CD-ROM contenant Firefox, Mozilla Thunderbird et quelques extensions et thèmes sélectionnés.
L’auteur Cheah Chu Yeow n’est pas un novice concernant Firefox : depuis plusieurs années, il publie un blog à l’adresse blog.codefront.net (qui semble être tombé en ce moment) où il poste souvent des articles concernant Mozilla. Les autres personnes qui ont participé au livre seront aussi familiers de la communauté Mozilla : Asa Dotzler a assuré la fonction d’expert relecteur, tandis que le rédacteur technique a été feu Nigel McFarlane.
Le site de Firefox Secrets de SitePoint vous donnera quelques chapitres d’exemple au format PDF en échange de votre adresse email (bien que ça ait pris un moment pour que nos extraits arrivent, nous avons uniquement reçu un courriel supplémentaire depuis lors et ce fut à propos du livre). Le fichier PDF contient tout le chapitre deux, Essential Browsing Features, et des extraits des chapitres six et sept, Tips, Tricks, and Hacks et Web Development Nirvana. D’autres parties, comme la table des matières et l’index, y sont aussi comprises, conduisant à ce que l’échantillon fasse 119 pages en tout.
About.com attribue à Firefox Secrets trois étoiles, tandis que Blogcritics.org a également une critique de Firefox Secrets et Lockergnome a un aperçu de Firefox Secrets. Enfin, SearchEnterpriseLinux.com a une interview de Kevin Yank, un directeur technique de SitePoint qui a travaillé sur le livre (merci à roseman pour le lien).
Hacking Firefox, qui porte le sous-titre More Than 150 Hacks, Mods, and Customizations, est l’ouvrage le plus substantiel, montant jusqu’à 430 pages. Résolument destiné aux utilisateurs avancés, le livre couvre des sujets tels qu’arranger l’interface de Firefox, améliorer les performances et créer des extensions. Bien que Mel Reyes soit cité comme auteur de ce livre, plusieurs autres membres de la communauté Mozilla y ont contribué, dont le développeur d’extensions Alex Sirota (créateur de FoxyTunes) et le prolifique auteur de thèmes Aaron Spuler. L’avant-propos a été rédigé par Blake Ross. Mel publie hackingfirefox.com, un site d’accompagnement du livre et Alex a sa propre page sur Hacking Firefox.
Le site Hacking Firefox de Wiley a un chapitre d’exemple de 14 pages à télécharger au format PDF (c’est le premier chapitre, Hacking Firefox Boot Camp). La table des matières, l’index et le code qui accompagne le livre peuvent aussi être obtenus. Hacking Firefox porte la marque ExtremeTech, donc ce n’est pas une surprise que le site technologique populaire dispose de deux extraits en ligne. Le premier, Hacking Firefox Extensions, a des détails techniques sur la manière dont fonctionnent les extensions, tandis que le second, Hacking Firefox : Speed Up Your Browser, se concentre principalement sur la modification des préférences cachées pour le réseau afin d’améliorer les performances. Merci à roseman pour les liens vers les deux.
Les éditeurs se bousculent actuellement pour remplir les étagères des utilisateurs de Mozilla. Le site d’hébergement de projets relatifs à Mozilla mozdev maintient une liste de livres sur Mozilla qui contient trois nouveaux livres prévus pour sortir ce mois-ci : Mozilla Firefox : Introductory Concepts and Techniques, Firefox and Thunderbird (un livre d’O’Reilly) et Pro Firefox Extension and Application Development. Le livre de Blake Ross, Firefox for Dummies, est attendu pour une publication en octobre.
NDT : N’oubliez pas les livres concernant Mozilla en français dont nous vous parlons ce dimanche, dont XUL pour les programmeurs et Firefox à 200 % qui pousse loin l’exploration des capacités de Firefox.
Commentaires fermés sur Firefox Secrets et Hacking Firefox sont publiés
Percy nous communique l’information que CNET a inclus Mozilla Firefox dans sa liste des dix produits les plus importants. Firefox est au milieu du tableau à la cinquième position, derrière l’iPod, le TiVo, Google et Napster (la version illégale du poste à poste), mais devant le Palm Pilot, le Motorola Startac, l’iMac d’Apple, le Sony Digital Mavica MVC-HD5 et The Sims.
Sur Firefox, CNET indique : « C’est indiscutable, Mozilla est là depuis plusieurs années, mais Firefox 1.0 a introduit le navigateur open source dans le grand public. Certains n’ont jamais pensé que Mozilla pourrait faire quelque chose de plus qu’une marque de fiérté pour geek. Léger, sécurisé, et efficace Firefox a défié légitimement l’emprise d’Internet Explorer sur la navigation Web. »
La liste a été réalisée dans le cadre des célébrations du dixième anniversaire de CNET. Plus tôt cette année, Firefox a fait partie de la liste des meilleurs téléchargements de la décennie passée de CNET.
Commentaires fermés sur CNET classe Mozilla Firefox dans les dix meilleurs produits
CNET News.com signale que des chercheurs en sécurité affirment avoir trouvé une manière d’exploiter la dernière faille de sécurité de Mozilla, qui a été révélée par Tom Ferris la semaine dernière. Lorsqu’il a publié des détails sur la vulnérabilité de dépassement de mémoire tampon dans la gestion des liens des noms de domaine internationalisés (IDN), Ferris a joint un code de démonstration du bien-fondé de sa conception qui plante Mozilla Firefox (et les autres applications concernées) sans accomplir aucune autre action dangereuse. Cependant, Ferris affirme avoir créé une variante de la démonstration qui pourrait exécuter un code arbitraire et maintenant d’autres chercheurs, dont Berend-Janv. Wever, développent indépendamment leurs propres exploits. Wever affirme qu’il a réalisé son programme en seulement trois heures et demi.
Pourtant ni Ferris et ni Wever n’ont rendu public leur exploit mais l’article de News.com avertit que des attaquants hostiles ne sont probablement pas loin derrière les chercheurs en sécurité dans le développement d’attaques qui tirent profit de la vulnérabilité. Ferris est cité en disant que quelques personnes l’ont contacté pour lui demander le code de l’exploit. « Ceci m’indique que les auteurs de cheval de Troie recherchent bien quelque chose », a-t-il dit.
Vendredi dernier, un jour après que la faille de sécurité ait été rendue publique, la fondation Mozilla a diffusé une rustine de contournement qui désactive le support des IDN, garantissant que le code contenant des bogues ne serait pas exécuté. Un correctif plus durable, qui élimine le risque de sécurité sans enlever le support des IDN, a été développé et sera inclus dans Mozilla Firefox 1.0.7 et Mozilla 1.7.12 lorsqu’ils seront diffusés dans quelques jours. Hier, des versions candidates de Firefox 1.0.7 et de Mozilla 1.7.12 étaient mises à disposition pour tests.
News.com a un article sur les prochaines versions de Firefox 1.0.7 et de Mozilla 1.7.12 (c’est leur quatrième article concernant la faille en une semaine), qui inclut des commentaires de Mike Schroepfer, directeur de l’ingénierie à la fondation Mozilla. L’article déclare également que Ferris affirme avoir trouvé une vulnérabilité en rapport dans Firefox 1.5bêta 1 (mais pas dans Firefox 1.0.6 et supérieur), qui est présente même si la rustine pour désactiver les IDN a été installée. Il a publié un bulletin sur le site Web Security Protocols, s’y référant comme le Mozilla Firefox 1.5 Beta 1 IDN Buffer Overflow. Cependant, selon des commentaires du bogue 307259, cette question est un problème complètement différent, quoiqu’un avec un jeu d’essais superficiellement similaire à la faille des IDN. Cet autre bogue, est supposé être un simple plantage sans implications de sécurité, a été classé comme le bogue 308579, qui a été marqué comme un doublon du bogue 307875.
Ce n’est pas la première fois que Ferris a inexactement identifié un bogue de Mozilla. Son rapport original de la faille IDN a déclaré que c’était une vulnérabilité de chaîne formatée, alors qu’en fait c’était un dépassement de mémoire tampon. Il a été rapidement corrigé par les ingénieurs de Mozilla, qu’il a manqué de citer lorsqu’il a recopié leurs évaluations, quasiment mot pour mot, dans son bulletin Mozilla Firefox « Host: » Buffer Overflow. En outre, il a prétendu avoir rapporté la faille deux jours avant d’avoir ouvert réellement le rapport de bogue. Ferris a été également critiqué par beaucoup dans la communauté de la sécurité pour avoir révélé des détails de la faille des IDN sans avoir au préalable donné le temps à la fondation Mozilla de développer un correctif.
Robert Kaiser écrit : « Le SeaMonkey Council est heureux d’annoncer sa première version, SeaMonkey 1.0 alpha. Développé à partir de la base de code de la suite applicative Mozilla qui avait antérieurement connue le succès, SeaMonkey 1.0 alpha comporte beaucoup de nouvelles fonctionnalités et nombre d’améliorations et de correctifs de bogues en comparaison des dernières versions de Mozilla. En interne, la plupart du code central est partagé avec l’actuel navigateur Firefox 1.5 bêta 1, mais de l’extérieur il a l’apparence que les utilisateurs de longue date de Mozilla et de Netscape ont appris à aimer.
« SeaMonkey 1.0 alpha ne propose pas seulement un navigateur dernier cri : l’application jouit d’un client email puissant tout comme d’un éditeur de pages Web WYSIWYG et d’une application de discussion en direct par IRC avec de nombreuses fonctionnalités. Pour les développeurs Web, le DOM Inspector de mozilla.org et les outils de débogage JavaScript sont également inclus. SeaMonkey 1.0 alpha est un des plus puissants et sûrs packages logiciels Internet actuellement disponibles, quand bien même cette version n’est que pour les tests.
« Veuillez noter que SeaMonkey 1.0 alpha ne comprend pas la maquette officielle de SeaMonkey, étant donné que le projet SeaMonkey est toujours ouvert aux propositions de logos de sa communauté. Le nouveau logo sera choisi à partir de ces propositions et intégré dans la prochaine version 1.0 bêta de SeaMonkey, qui sera la dernière version avant que SeaMonkey 1.0 ne débarque plus tard cette année.
« Le projet SeaMonkey est un projet basé sur la communauté chez mozilla.org qui a surgi autour du code de la suite de Mozilla quand la fondation Mozilla a annoncé qu’elle ne continuerai plus le développement de son produit de suite. Le nouveau projet est destiné à conserver cette suite en vie sous le nom de »SeaMonkey « et à le développer en un ensemble logiciel Internet toujours plus moderne et complet. »
Les notes de diffusion de SeaMonkey 1.0 alpha ont davantage d’information sur cette version de test. Toutes les compilations sont disponibles depuis le répertoire 1.0a de SeaMonkey sur ftp.mozilla.org.
Camino 1.0 alpha 1 est sorti. Venant après Camino 0.9 alpha 2 (il n’y a pas eu de version 0.9 finale), cette dernière version du navigateur natif pour Mac OS X propose des performances plus rapides, un meilleur blocage des publicités et des préférences améliorées. Les marque-pages, l’impression et le gestionnaire de téléchargement ont également été améliorés et la fonctionnalité de certificats de sécurité a désormais une meilleure interface utilisateur avec davantage d’options. Le Java Embedding Plugin a été incorporé, permettant à Camino de tirer profit des dernières versions 1.4 et 5.0 de Java si installées. En outre, Camino 1.0 alpha 1 a aussi des dizaines de petites améliorations. Voyez les notes de diffusion de Camino 1.0 alpha 1 pour plus de détails.
Le site de CaminoBrowser.org a un article d’actualité sur la sortie de Camino 1.0 alpha 1, tandis que son développeur en chef Mike Pinkerton explique que Camino 1.0 alpha 1 emploie la même version de Gecko que Mozilla Firefox 1.5 bêta 1 mais avec un correctif de sécurité supplémentaire. Enfin, Jasper Hauser déclare qu’il améliorera le site Web de Camino et les icônes à temps pour la sortie de la version 1.0 finale.