Avis de sécurité pour Firefox ...

[Humpfff]

Une sombre histoire de Mozilla Arbitrary Code Executation Security Flaw

Je crois qu'on n'en a pas encore parlé ici...

Relevé sur le standblog => http://standblog.org/blog/2005/05/09/93 ... ur-firefox

Plus de détails sur Mozillazine [anglais]
Et bientot sur Mozillazine-fr

PS : désolé de rester vague dans ce topic, je n'ai pas trop l'temps d'en dire plus Mais bon, vous savez lire ...

[calimo]

Oh que si ça a été abordé !
Le premier : http://www.geckozone.org/forum/viewtopic.php?t=23097

Cela dit si le passage dans cette rubrique pouvait permettre d'en savoir un peu plus ce serait vraiment bien

Visiblement il y a une démo mais elle n'a rien l'air de faire chez moi...

[Mori]

Visiblement il y a une démo mais elle n'a rien l'air de faire chez moi...

négatif, chez moi aussi

[arno.]

la démo ne marche pas non plus chez moi.
J'ai pas réussi à comprendre exactement comment ça marchait mais en gros :
ça déclenche une installation depuis un site en liste blanche (typiquement addons parcequ'il est autorisé par défaut) et ça trouve moyen de pouvoir enregistrer un fichier sur ton disque dur, lequel fichier peut être n'importe quoi, d'autant plus dangereux sous windows que les fichiers téléchargés ont les droits d'éxécution par défaut

Si la démo ne marche pas, c'est peut-être parcequ'addons a provisoirement modifié son url.

[FGNico]

bonsoir à tous

s'agit-il de ceci?? trouvé sur une liste US??
excusez moi c'est long et en anglais

Bonne soirée à tous
FGNico

Firefox exploit targets zero day vulns
By John Leyden
Published Monday 9th May 2005 11:38 GMT

Security researchers have discovered two unpatched vulnerabilities in
Firefox, the popular alternative web browser. The security bugs affect
even the latest version of Firefox (version 1.0.3) and create a means
for attackers to seize control of vulnerable systems using cross-site
scripting attacks.

One vulnerability enables arbitrary JavaScript code with escalated
privileges to be executed via a specially crafted JavaScript URL.
Successful exploitation requires that a site is allowed to install
software (default sites are "update.mozilla.org" and
"addons.mozilla.org"). This would normally drastically reduce the scope
for mischief - but for a second security bug, involving "IFRAME"
JavaScript URLs, which creates a means to execute arbitrary HTML and
script code in the context of an arbitrary site.



A combination of the two vulnerabilities can be exploited to execute
arbitrary code on vulnerable systems, according to Danish security firm
Secunia. Exploit code is publicly available greatly increasing the
chance of attack, it warns. The vulnerabilities - described by Secunia
as "extremely critical" - have been confirmed in version 1.0.3 of
Firefox. Other versions may also be affected.

Users are advised to disable JavaScript and the software installation
option within Firefox pending a more comprehensive fix from the Mozilla
Foundation. R

[Boultrane]

La version 1.0.4 de Firefox disponible en version nocturne sur les ftp de Mozilla depuis plus de 2 semaines corrige cette vulnérabilité

http://ftp.mozilla.org/pub/mozilla.org/ ... .0.1-l10n/

[FGNico]

mERCI POUR LA R2PONSE

Pour l'instant comme préconisé j'ai dé-activé le Javascript dans les outils

le night 1.04 est il en français? question uniquement pour mes options
suplementaires calendrier etc etc

Merci
FGNico

[Flore]

Attention !!!
On n'installe pas des nightlies comme ça, sans savoir. Parce qu'on aura des problèmes : c'est pas une menace, ni une probabilité c'est un fait.
Les nightlies sont faites pour les testeurs pour qu'ils trouvent les bugs.

[hiro_invité]

mouais ca fait 2 mois que je m'amuse a instllé les nouveau nightly tout les jours et jai jamais eu de prob !

sinon la 1.0.4 rc2 en localisé la http://www.chevrel.org/fr/carnet/


vala mais bon bientot la final et puis pour la pauvre petite faille ...

[bobo]

mouais ca fait 2 mois que je m'amuse a instllé les nouveau nightly tout les jours et jai jamais eu de prob !

Le problème n'est pas là, mais dans le fait que de temps en temps, une nightly est inutilisable pour diverses raisons.
Si tu es conscient des risques liés à l'utilisation d'une nightly, et que tu te sens capable de résoudre les problèmes qui peuvent en découler, pas de problème.
Mais si tu l'utilises en croyant que tout ira toujours bien...
Dans le cas de la quasi 1.0.4, il y a un risque potentiel de ne pas avoir la "vrai" 1.0.4 et ça peut être un problème plus tard (quand on a oublié en général) pour les mises à jour automatiques par exemple.

[hirp_invité]

ben je suis totalment concient que certain jour nightly unitilisable masi c'est pour ca que je garde toujour les autres d'avant !

[calimo]

Il n'y a pas eu un jour une nightly qui supprimait le dossier "mes documents" ?