FF 3.6 vulnérable selon Sécunia

[ajja93]

Bonjour,

Je viens d'installer - et d'utiliser - pour la 1ère fois le logiciel de sécurité Sécunia PSI :
(En tant qu'invité vous n'êtes pas autorisé à poster des URLs (adresses). Inscrivez-vous ou enlevez : machin-truc:secunia.machintruc)

Bon, il m'a trouvé 2 ou 3 p'tits trucs (Flash Player par exemple) à mettre à jour
Mais...
... grosse surprise, il m'indique : "Mozilla Firefox 3.6x - Verdict : ne permet pas une navigation sécurisée car au moins un vecteur d'attaque critique existe lors de l'utilisation de ce navigateur".

Il précise plus bas : "vulnérable, sans solution actuellement" et permet d'aller voir sur le site de Sécunia les raisons (En) qui ne sont pas vraiment précisées (message classique : "faites gaffe en naviguant !")

Déjà une faille sur 3.6 ? C'est quoi t'est-ce ??? Doit-on s'attendre à "3.6.1" 3 jours après 3.6 (comme en juillet 2008 (suis pas sûr de l'année ????) avec la version 2.je-sais-plus ????

PS : c'est pas une critique pour Mozilla, bien sûr (au contraire !), c'est juste un moyen détourné et parfaitement hypocrite pour savoir si, à votre avis, Sécunia est vraiment fiable ou pas

[jpj]

Bonjour,

Les failles 0day, c'est un truc qui peut se produire dans n'importe quel logiciel. Pour celle-ci, Secunia fait dans le sibyllin et le source n'est pas spécialement locace. Sans information sérieuse, Mozilla est dans le bleu.

S'il y a vraiment eu une faille de découverte, la méthode est des plus critiquables (We’ve attempted to contact the researcher who discovered the issue but have not received a response). Quant à Secunia, il semble ne rien avoir vérifier et Secuser, qui d'habitude n'est pas en reste, n'a pas repris l'information.

Attendre et voir, ce ne serait pas la première faille réelle … ou imaginaire.

[Noz]

Bonjour,

C'est apparemment un hoax venant de la boite de "sécurité" Intevydis pour se faire un coup de pub (et vendre leur soft pour exploiter la faille)

Depuis la découverte début Février, ce monsieur n'a donné aucune nouvelle à Mozilla pour corriger la faille, ni à ses clients qui se plaignent que la faille ne fonctionne pas...

[teoli2003]

On attendra un peu pour le qualifier de hoax, mais effectivement personne n'a réaliser à reproduire ce que la société en question prétendait, même ceux qui ont payé! Donc il y a peut-être une faille, mais les conditions pour qu'elle soit exploitable ne sont probablement pas si simples, ce qui diminue l'exposition du grand public.

[ajja93]

Pour celle-ci, Secunia fait dans le sibyllin et le source n'est pas spécialement locace.

Merci jpj.
C'était exactement mon analyse, résumée par :

(message classique : "faites gaffe en naviguant !")

Attendre et voir

Tout est dit, je crois

Petit gag : Sécunia fait exactement la même critique à IE 7... Sauf que là, si faille il y a vraiment, la correction risque d'être............ plus longue à venir.

Ceci étant dit, et pour répondre aussi à Noz et teoli2003, cette (éventuelle) faille n'est visible dans Sécunia que si l'on clique sur l'onglet "avancé", et dans ce cas le logiciel indique que cet affichage est réservée à des utilisateurs avancés (je cite de mémoire).

Donc pas de panique, mon post était juste là pour connaître vos avis (évidemment éclairés )
Et si Mozilla fait une mise à jour demain (ou après-demain), cela ne fera que confirmer la réactivité, l'une des principales raisons de notre choix.
Et Sécunia m'a été utile, en me permettant quelques m-a-j ! Je pense que je l'ouvrirai une fois par mois, comme un petit plus sécurité.

Merci

[nico@nc]

[Modération]
La nouvelle qui vire à la rumeur déménage donc en section "Nouvelles, rumeurs".

[teoli2003]

Mozilla vient de communiquer à ce sujet.

1) Evgeny Legerov a pris contact avec Mozilla et leur a transmis les informations nécessaires
2) Mozilla a étudié ces informations et effectivement il s'agit d'une faille. La sévérité est "critique".
3) Un fix a été écrit et sera publié dans Fx 3.6.2 (~30 mars).
4) Les betas de Fx 3.6.2, et a fortiori le Trunk (c'est moi qui ajoute ce point), sont safe.

Plus d'infos: http://blog.mozilla.com/security/2010/0 ... y-sa38608/

[teoli2003]

3.6.2 est sorti avec le fix de ce bug (1 semaine d'avance sur le planning initial)