Faille de sécurité sérieuse dans Mozilla et Netscape

Par FautVoir le 19/9/2002 à 13:57:52 (#2188050)

Un faille sérieuse découverte le 19/05/2002 et toujours pas patchée, qui concerne Mozilla 0.9x, 1.0, 1.0.1, 1.1 et 1.2alpha, Netscape 6.x et 7, Galeon 1.2.x et Chimera 0.5.

Article en français
Démonstration (en anglais)

Le plus simple : désactiver le javascript.

Par Mind le 19/9/2002 à 14:04:23 (#2188092)

Le correctif est dans le trunk et dans la branche 1.0 depuis le 16 septembre. Le bug avait été rendu public 48 heures auparavant.

Les dernières versions de Mozilla sont toujours disponibles à cette adresse : ftp://ftp.mozilla.org/pub/mozilla/nightly

Par Mandor -BEUARP- le 19/9/2002 à 14:04:51 (#2188096)

J'arrive pas a faire marcher la demonstration ? :doute:

Je quitte la page en suivant le lien, je reviens et... Rien, il me dit rien de spécial... :doute:

Je doit être immunisé. :D

Par Mind le 19/9/2002 à 14:09:49 (#2188137)

Notez que si vous ne voulez pas installer une nouvelle version de Mozilla et que vous ne voulez pas désactiviter le Javascript, il vous suffit d'ajouter cette ligne à votre fichier user.js pour résoudre le problème :

user_pref("capability.policy.default.Window.onunload", "noAccess");

Par Lorim le 19/9/2002 à 14:21:43 (#2188237)

je n'est aucun probleme moi :doute:

Par FautVoir le 19/9/2002 à 14:25:18 (#2188270)

Le correctif est dans le trunk et dans la branche 1.0 depuis le 16 septembre. Le bug avait été rendu public 48 heures auparavant.

Arf ! L'info était datée du 15, j'ai pas été assez vite ;). Par contre, il me semble bien que le bug était connu depuis mi-mai, puisque le 1er commentaire sur Bugzilla est daté du 20 mai. Et Bugzilla est un site en accès libre, y compris aux malicieux de tout poil ?

Edit :En tous cas, je savais bien que ça allait nous permettre d'avoir un coucou de Mind :D

Par Mind le 19/9/2002 à 14:31:22 (#2188324)

Provient du message de FautVoir
Arf ! L'info était datée du 15, j'ai pas été assez vite ;). Par contre, il me semble bien que le bug était connu depuis mi-mai, puisque le 1er commentaire sur Bugzilla est daté du 20 mai. Et Bugzilla est un site en accès libre, y compris aux malicieux de tout poil ?

Edit :En tous cas, je savais bien que ça allait nous permettre d'avoir un coucou de Mind :D

Bugzilla n'est pas entièrement en accès libre. L'accès aux bugs de sécurité est limité à une équipe restrainte. Ce bug (sous Bugzilla) a été ouvert au public le 14 septembre après que l'exploit ait été rendu public (sur des sites web). Auparavent seul l'équipe de sécurite de Mozilla y avait accès.

Plus d'infos sur la politique de sécurité de Mozilla : http://www.mozilla.org/projects/security/security-bugs-policy.html

Par FautVoir le 19/9/2002 à 14:35:28 (#2188376)

Aaaaaaaaah OK.:merci:

Par Eldarendil le 19/9/2002 à 19:26:12 (#2190558)

posté par Mind
Notez que si vous ne voulez pas installer une nouvelle version de Mozilla et que vous ne voulez pas désactiviter le Javascript, il vous suffit d'ajouter cette ligne à votre fichier user.js pour résoudre le problème :

user_pref("capability.policy.default.Window.onunload", "noAccess");

Dans prefs.js plutôt non ?

Par Horus TCT le 24/9/2002 à 14:58:12 (#2223078)

si on a téléchargé la v1.1 avant cette date

il vaut mieux la retélécharger et la reinstaller ??

Par Mind le 24/9/2002 à 15:17:33 (#2223216)

Provient du message de Eldarendil
Dans prefs.js plutôt non ?

Euh oui, dans prefs.js plutôt. :)

si on a téléchargé la v1.1 avant cette date
il vaut mieux la retélécharger et la reinstaller ??

Tu as plusieurs choix :
1) Editer le fichier prefs.js (le plus simple)
2) Installer une nightly de la branche 1.0 (Mozilla 1.0.2) : http://ftp36.newaol.com/pub/mozilla/nightly/latest-1.0/
3) Installer une nightly du trunk (Mozilla 1.2) : http://ftp36.newaol.com/pub/mozilla/nightly/latest/

Reinstaller Mozilla 1.1 ne corrigera pas le bug.

Par Le Clown Aeldyn le 24/9/2002 à 18:55:23 (#2224738)

Provient du message de Mind
Notez que si vous ne voulez pas installer une nouvelle version de Mozilla et que vous ne voulez pas désactiviter le Javascript, il vous suffit d'ajouter cette ligne à votre fichier user.js pour résoudre le problème :

user_pref("capability.policy.default.Window.onunload", "noAccess");

Mon cerveau doit encore bugger mais je trouve po le fichier :eek:


Edit : je viens de voir, c'est bon, j'ai trouvé pref mais je sais po comment l'éditer *nb powwaaaa* avec le bloc notes ? :o

Par Mind le 24/9/2002 à 19:13:04 (#2224860)

Edit : je viens de voir, c'est bon, j'ai trouvé pref mais je sais po comment l'éditer *nb powwaaaa* avec le bloc notes ? :o

Par exemple. :)

Par Horus TCT le 28/9/2002 à 2:14:05 (#2247353)

Provient du message de Mind
Euh oui, dans prefs.js plutôt. :)



Tu as plusieurs choix :
1) Editer le fichier prefs.js (le plus simple)
2) Installer une nightly de la branche 1.0 (Mozilla 1.0.2) : http://ftp36.newaol.com/pub/mozilla/nightly/latest-1.0/
3) Installer une nightly du trunk (Mozilla 1.2) : http://ftp36.newaol.com/pub/mozilla/nightly/latest/

Reinstaller Mozilla 1.1 ne corrigera pas le bug.

ok je vais modifier a la main

mais donc toutes les version dispo ne sont pas corrigés à part les nightly ??


par contre j'ai trouvé un fichier security-prefs.js
mais pas de prefs.js
c'est celui la ?

Par Mind le 28/9/2002 à 2:21:14 (#2247372)

Provient du message de Horus TCT
ok je vais modifier a la main

mais donc toutes les version dispo ne sont pas corrigés à part les nightly ??

Pas à ma connaissance. Mozilla n'a pas encore de système de patchage. Tu dois télécharger le navigateur en entier si tu ne veux pas faire la manip à la main.

Par Horus TCT le 28/9/2002 à 2:25:25 (#2247380)

Provient du message de Mind
Pas à ma connaissance. Mozilla n'a pas encore de système de patchage. Tu dois télécharger le navigateur en entier si tu ne veux pas faire la manip à la main.

ok alors faut prendre la 1.2 si on veut que ce soit corrigé

sinon c'est le fichier security-prefs.js qu'il faut modifier ?
car j'ai pas trouvé de prefs.js

Par Mind le 28/9/2002 à 2:31:10 (#2247395)

La 1.2 (encore en alpha) ou la 1.0.2 (bcp plus stable, surement même plus stable que la 1.0.1).

Le fichier est dans ton profil, pas dans le répertoire de Mozilla.

Par Horus TCT le 28/9/2002 à 2:34:24 (#2247397)

Provient du message de Mind
La 1.2 (encore en alpha) ou la 1.0.2 (bcp plus stable, surement même plus stable que la 1.0.1).

Le fichier est dans ton profil, pas dans le répertoire de Mozilla.

arf ok moi je cherchais dans le répertoire de mozilla :)

la 1.0.2 est la mieux actuellement ??
moi j'ai la 1.1 et a part quelques plantages ca marche tres bien :)

Par Mind le 28/9/2002 à 2:56:17 (#2247449)

la 1.0.2 est la mieux actuellement ??

La plus stable normalement.
La meilleure, c'est relatif. Ca dépend ce que tu recherches.
Par exemple, la 1.2 est plus rapide et a plus de fonctions, mais est moins stable.

Perso en ce moment j'utilise la 1.0.1 sous Linux et la 1.0.1 et une nightly de la 1.2 sous Windows (tu peux parfaitement avoir 50 version de Mozilla installées en même temps si tu le veux:)).

Par Horus TCT le 28/9/2002 à 14:47:16 (#2249377)

Provient du message de Mind
La plus stable normalement.
La meilleure, c'est relatif. Ca dépend ce que tu recherches.
Par exemple, la 1.2 est plus rapide et a plus de fonctions, mais est moins stable.

Perso en ce moment j'utilise la 1.0.1 sous Linux et la 1.0.1 et une nightly de la 1.2 sous Windows (tu peux parfaitement avoir 50 version de Mozilla installées en même temps si tu le veux:)).

lol ok :)

je pense que je vais rester a la 1.1, car elle doit etre a mi chemin entre les 2 :)


par contre je voudrais savoir s'il existe des packs comprenant les plugins les plus couramment utilisés sur le net, car comme ca ca évite de le retélécharger a chaque formatage

Par Corwin Sharkyu le 28/9/2002 à 15:01:05 (#2249455)

Provient du message de Horus TCT


par contre je voudrais savoir s'il existe des packs comprenant les plugins les plus couramment utilisés sur le net, car comme ca ca évite de le retélécharger a chaque formatage

Oui c'est vrai que c'est un peu ennuyant de les telecharger a chaque fois mais bon... Il doit surement y en avoir...


Sinon moi j'utilise Mozilla pour le moment et j'ai pas encore eu! de probleme donc je suis content :o)

Par Mind le 28/9/2002 à 15:04:34 (#2249482)

Provient du message de Horus TCT
lol ok :)

je pense que je vais rester a la 1.1, car elle doit etre a mi chemin entre les 2 :)


par contre je voudrais savoir s'il existe des packs comprenant les plugins les plus couramment utilisés sur le net, car comme ca ca évite de le retélécharger a chaque formatage

Ca s'appelle Netscape 7. :)

Par Horus TCT le 28/9/2002 à 15:07:28 (#2249507)

Provient du message de Mind
Ca s'appelle Netscape 7. :)

vi mais c'est plus vraiment Mozilla ou si ??

Par Mind le 28/9/2002 à 15:16:14 (#2249542)

C'est Mozilla 1.0.1 + des plugins utiles + des trucs inutiles - le bloquage des popups (il faut ajouter une ligne dans prefs.js pour le réactiver).

Par Horus TCT le 28/9/2002 à 15:21:45 (#2249568)

Provient du message de Mind
C'est Mozilla 1.0.1 + des plugins utiles + des trucs inutiles - le bloquage des popups (il faut ajouter une ligne dans prefs.js pour le réactiver).

des trucs inutiles :D

mais si Netscape est en fait Mozilla plus quelques ajouts pourquoi perdure t il comme Netscape il devrait se nommer Mozilla Plus ou truc dans le style ? :)