Geckozone

Bonjour à tous,

Sur le site de l'ANSSI : http://cert.ssi.gouv.fr/site/CERTFR-201 ... index.html
je peut constater qu'il y a de multiples vulnérabilités sur Firefox.

Ma question est : les versions aurora/beta/nightly sont-elles aussi vulnérables ? Est-ce qu'elle ne sont pas mentionnées car pas testées ou car pas vulnérables ? Merci de votre réponse.

Bonjour,

si tu regardes bien ceci ne concerne que les anciennes versions :

Systèmes affectés
Librairie NSS versions antérieures à 3.19.1
Mozilla Firefox versions antérieures à 39
Mozilla Firefox ESR versions antérieures à 31.8
Mozilla Firefox ESR versions antérieures à 38.1
Mozilla Thunderbird versions antérieures à 38.1

donc pas de soucis pour les versions futures ( les correctifs sont fait avant la versions courante)

Merci bien pour ta réponse rapide. Mais ça ne dit pas si c'est parcequ'elle ne sont pas testée ou ou si c'est parceque le code des Firefox des versions supérieures est patché/différent, je veux dire : comment la version 41 peut être sécurisée d'une faille présente dans la 38.1 si la version 41 est sortie avant la faille ?

Les patchs sortent toujours sur les versions en développement (Nightly, Aurora, ou Beta) avant la sortie de la version courante;
d'ailleurs comme son nom l'indique , les Nightly (actuellement en version 42.0a1) ont des versions mise à jour tous les jours(ou presque), de même que Aurora (en ce moment version 41.0a2);
Si une faille est détectée , elle sera patchée en premier sur Nightly, puis Aurora etc

Ok... désolé d'être lourd :p ... mais donc si une faille est détectée sur la version 38.0.5 elle l'est aussi sur la Nightly jusqu'à ce qu'elle soit corrigée aussi ? Je veux dire, le code entre une Nightly, une Aurora et une version stable est-il suffisament commun pour qu'une faille soit valable sur ces 3 versions ?
Après j'arrête d'être chiant :p
Merci encore !!

Si une faille est détecté dans la version actuelle ( c'est la 39.0 !) elle sera également contrôlée dans les versions en développement qui seront patchés en premier afin de vérifier que tout va bien et que ça n'induis pas d'autre bug;
ensuite éventuellement une nouvelle version avec un nouveau numéro (par ex 39.0.1) sortira

C'est pour cela qu'il ne faut jamais revenir à une version précédente

Ok merci
Donc il y a du code en commun dans toutes les versions (et donc j'imagine leur dérivée) et si une version de Firefox est vulnérable alors les Nightly, Beta... Waterfox, Cyberfox, Palemoon et autre sont aussi vulnérable !
Arf... moi qui me croyait en sécurité avec Waterfox 38.1.0 ...

Waterfox est dérivé de la version Firefox ESR
la dernière version est bien la 38.1, donc pas de soucis

Bonjour

Pour rappel l'ANSII publie les vulnérabilités corrigées et diffusées par l'éditeur, pour qu'elles ne soient pas exploitées.
À chacun de vérifier que son produit est à jour.

Les versions corrigées sont les versions maintenues par l'éditeur. Les versions antérieures ne bénéficient pas du support et les correctifs n'y sont pas propagées.