IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une faille critique dans Firefox 3.6
Confirmée par Mozilla sera patchée à la fin du mois : la solution en attendant

Le , par Gordon Fowler

0PARTAGES

1  0 
Firefox 3.6.13 est disponible, et propose de petites améliorations en sécurité et stabilité
Mise à jour du 10.12.2010 par Katleen


Mozilla propose désormais la version 3.6.13 de Firefox. Il s'agit d'une mise à jour mineure, qui patch juste quelques problèmes de sécurité tout en améliorant la stabilité du navigateur.

L'update peut se faire directement via la fonction de mise à jour automatisée du logiciel , ou bien en téléchargeant la version 3.6.13 pour Windows, Mac ou Linux.

Les vulnérabilités corrigées sont :

MFSA 2010-84 XSS hazard in multiple character encodings
MFSA 2010-83 Location bar SSL spoofing using network error page
MFSA 2010-82 Incomplete fix for CVE-2010-0179
MFSA 2010-81 Integer overflow vulnerability in NewIdArray
MFSA 2010-80 Use-after-free error with nsDOMAttribute MutationObserver
MFSA 2010-79 Java security bypass from LiveConnect loaded via data: URL meta refresh
MFSA 2010-78 Add support for OTS font sanitizer
MFSA 2010-77 Crash and remote code execution using HTML tags inside a XUL tree
MFSA 2010-76 Chrome privilege escalation with window.open and <isindex> element
MFSA 2010-75 Buffer overflow while line breaking after document.write with long string
MFSA 2010-74 Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)
La totalité des changements et améliorations survenus peut être consultée ici.

Source : Mozilla (lien de téléchargement)

Mise à jour du 23/06/10

Firefox 3.6.4 et son système de protection contre les crashs
Disponibles pour Windows et Linux

Mozilla vient d'annoncer la disponibilité de Firefox 3.6.4, la dernière version de son navigateur.

Cette nouvelle version intègre le très attendu système de protection des crashs sous Windows et Linux. Elle isole à présent les plugins tiers. C'est le fameux Out-of-Process Plug-in (OOPP) alias « le projet Lorentz », qui fonctionne sur le modèle des « bac à sable » (lire ci-avant) et qui permet au navigateur de continuer à fonctionner même en cas de plantage d'un plug-in.

Il suffit simplement à l'utilisateur de rafraichir la page pour continuer à surfer.

Lors des phases de beta-test, le nombre de plantages de Firefox pour les internautes qui regardent des vidéos en ligne ou jouent dans leur navigateur aurait considérablement réduit.

« Avec la possibilité offerte par Mozilla d’alerter automatiquement les utilisateurs quand leurs plugins ne sont plus à jours, et à présent la protection contre les crashs, Firefox 3.6.4 espère mettre à disposition des utilisateurs tout le contenu qu’ils aiment consulter sur le web tout en leur permettant de rester en sécurité pendant qu’ils surfent » écrit la Fondation qui édite Firefox dans son communiqué.

Une petite phrase en dit également long sur le futur développement du navigateur : « Mozilla reconnait que les plugins occupent une place importante pour beaucoup de sites encore aujourd’hui », un constat sous forme de regret et un appel à l'adoption réelle du HTML 5. Et pas simplement à son détournement marketing par Google et Apple - comme les en accuse Christopher Blizzard, évangéliste Open Source chez Mozilla.

Aujourd’hui, « Lorentz » concerne uniquement les crashs de Flash, de Quicktime et de Silverlight sur les ordinateurs sous Windows et Linux.

Mozilla souligne que le support des autres plugins et systèmes d’exploitation sera disponible pour les prochaines mises à jour de Firefox.

Firefox 3.6.4 avec le OOPP et la mise à jour automatique des plug-ins est disponible sur cette page (ou via la fonction « rechercher des mises à jours » dans leur menu « ? » de Firefox).

Source : La Release Notes de Firefox 3.6.4, le billet de Mike Beltzner, la Crash Protection FAQ

Lire aussi :

WebM dans Firefox 4, le nouveau codec vidéo open-source fait déjà son apparition dans une version développeur du navigateur
Un membre de Mozilla reproche à Apple et Google de vouloir s'approprier le HTML5 mais félicite Microsoft pour son soutien

Et vous ?

Que pensez-vous de ces nouveautés : bienvenues ou trop tardives par rapport à la concurrence ?

MAJ de Gordon Fowler

Mise à jour du 01.06.2010 par Katleen
Firefox enfin disponible en version 64 bits pour Windows, allez-vous le télécharger ?


Alors que des versions 64 bits étaient déjà disponibles pour Linux et Mac OS X, Mozilla sort enfin une version 64 bits pour Windows de son navigateur.

Firefox 3.7 est donc disponible pour les moutures 64 bits de l'OS de Microsoft. Son utilisation nécéssitera peut être le pack Microsoft Visual C++ 64 bits en sus.

Ce mode permet de profiter de performances sensiblement supérieures et d’adresser une plus grande quantité de mémoire.

Au final, c'est Firefox 4.0 qui devrait être optimisé pour les processeurs 64 bits.

Cependant, les éditeurs travaillant avec Windows restent globalement assez lents à fournir des versions 64 bits de leurs logiciels. Au niveau des navigateurs, cela pourrait s'expliquer par le fait que certaines technologies, comme Flash, ne sont accessibles qu'en version 32 bits sous Windows.

Source : Lien de téléchargement sur le FTP de Mozilla

Mise à jour du 06/05/10

Nouvelle beta pour Firefox
La séparation des processus arrive à grand pas : enfin ?

Une nouvelle beta de Firefox 3.6.4 a été mise en ligne par la Fondation Mozilla. Il s'agit de la troisième, et a priori de la dernière, avant la sortie officielle du navigateur prévue pour la semaine prochaine.

La principale nouveauté est l'intégration du OOPP (Out Of Process Plug-ins) qui permet de séparer les processus. Le but est de rendre Firefox plus stable en évitant que le dysfonctionnement d'un plug-in ne fasse planter la totalité du programme.

Baptisé Lorentz, ce projet, déjà appliqué par la concurrence (notamment Chrome), vise surtout les plug-in Flash, QuickTime et Silverlight (lire ci-avant).

Son arrivée dans Firefox est donc plus qu'attendue et permettra de combler un des deux gros reproches formulés au Panda Roux (l'autre étant souvent le temps de démarrage).

La beta de Firefox 3.6.4 build3 est à télécharger ici.

MAJ de Gordon Fowler

Mise à jour du 21/04/09

Mozilla isole les plug-ins de Firefox
Avec la sortie de la beta de la version 3.6.4 et du "Projet Lorentz"

Le futur Firefox 3.6.4 ne sera pas une mise à jour aussi mineure que cela.

L'arrivée du Projet Lorentz est en effet attendue avec impatience par les utilisateurs du navigateur.

Pour l'instant en beta (qui vient tout juste de sortir), cette nouvelle release, issue de ce projet Lorentz, inclut un système de protection contre les crashs en isolant les plugins défectueux lorsque ceux-ci ont un problème.

Sont particulièrement ciblés Flash, Quicktime et Silverlight.

Si un de ces plugins cesse de fonctionner, la navigation sur Firefox ne sera pas compromise.



Une avancée qui permet à Firefox non pas d'innover, mais de rattraper un retard, notamment sur Chrome.

Et c'est déjà très bien pour le navigateur qui revendique désormais 40% du marché Européen.

Firefox 3.6.4 beta build1 est à télécharger ici.

Sa release note est disponible là.

Et vous ?

Une bonne chose pour Firefox ou Lorentz a-t-il mis trop de temps à arriver ?

MAJ de Gordon Fowler

Mise à jour du 24.03.2010 (MAJ Djug)

Sortie de la version 3.6.3 de Firefox

qui corrige la faille de sécurité révélée lors du concours Pwn2Own

Mozilla vient de publié la version 3.6.3 de son navigateur Firefox, qui ne corrige comme la version 3.6.2 qu’une seule faille de sécurité.

La faille en question est celle révélée lors du très récent concours de sécurité Pwn2Own. Il s’agit d’une faille qui permet d’exécuter d’un code arbitraire.

Vous pouvez télécharger la version 3.6.3 via les liens suivant :

Firefox 3.6.3 pour Windows

Firefox 3.6.3 pour Mac

Firefox 3.6.3 pour Linux

source :
la Release notes
la faille concernée par la version 3.6.3 de firefox

voir aussi :
Aucun navigateur ne résiste aux attaques des experts en sécurité

Mise à jour du 24.03.2010 par Katleen
Mozilla rend son outil de vérification des plug-ins compatible avec les autres navigateurs

Après s'être occupé de patcher en urgence son navigateur Firefox suite à la détection d'une faille de sécurité critique, Mozilla travaille sur un outil permettant de sécuriser les navigateurs concurrents.

La fondation devrait en effet ce jour rendre disponible une version cross-browser de cette fonctionnalité (qui est embarquée par défaut dans Firefox 3.6), compatible avec Internet Explorer 7 et 8, Chrome 4, Safari 4 et Opera 10.5.

Son utilité ? Vérifier si les add-ons importants sont à jour. les hackers profitent souvent de plug-ins périmés pour s'introduire dans une machine (par exemple : Flash, QuickTime, etc.).

A noter que le nombre d'add-ons qui seront vérifiables via les navigateurs de Microsoft seront moins importants que les autres.

Concrètement, les plug-ins dépassés seront marqués d'une étiquette "Mettre à jour" (qui permet de télécharger la version la plus récente directement chez l'éditeur légitime), tandis que les autres seront estampillés "A jour" (ou bien "Recherche" en cas de doute).

L'idée finale étant de permettre aux internautes d'identifier quels plug-ins peuvent être vulnérables aux attaques.

Techniquement, l'outil fonctionne en interrogeant les serveurs de Mozilla qui comparent les add-ons trouvés sur l'ordinateur de l'utilisateur aux numéros des dernières versions disponibles.

Petit bonus pour Firefox, qui ne s'applique pas aux autres navigateurs : une alerte spécifique lorsqu'une page Internet essaiera d'installer un plug-in périmé.

Source : Page du "checker" sur le site de Mozilla

Mise à jour du 23/03/10

Mozilla patche la faille critique de Firefox 3.6
En sortant la version définitive de la version 3.6.2 avec une semaine d'avance

La faille critique de Firefox 3.6 qui avait poussé les institutions allemandes a publier un bulletin d'alerte de sécurité (lire ci-avant) vient d'être patchée par la Fondation Mozilla.

Le correctif était déjà prêt mais devait encore être testé par les développeurs du navigateur. C'est aujourd'hui chose faite.

Il est livré aujourd'hui avec Firefox 3.6.2 initialement prévu pour la fin du mois.

La mise à jour est proposée automatiquement pour les internautes surfant avec Firefox 3.6.

De quoi calmer les inquiétudes de Berlin sur le sujet.

Téléchargement : Firefox 3.6.2

MAJ de Gordon Fowler

Mise à jour du 22.03.2010 par Katleen

Le gouvernement allemand appelle à ne plus utiliser Firefox, tant que la vulnérabilité ne sera pas patchée

De la même manière qu'il avait appelé, en janvier, à ne plus utiliser Internet Explorer ; le Bureau Fédéral pour la Sécurité de l'Information allemand a lancé une alerte concernant Firefox.

Les citoyens allemands sont en effet appelés à ne plus utiliser Firefox jusqu'à nouvel ordre, c'est à dire tant que la vulnérabilité qui vient d'être découverte (voir news précédente) ne sera pas patchée.

La France suivra-t-elle à nouveau l'Allemagne dans cette déclaration préventive ?

Une faille critique dans Firefox 3.6
Confirmée par Mozilla, sera patchée à la fin du mois : la solution en attendant

C'est un bloggeur russe qui vient de mettre à jour une faille critique dans la dernière version de Firefox.

Dans un premier temps, celui-ci avait refusé de communiquer ses informations à la Fondation Mozilla. Mais, tout comme sa première décision était difficilement compréhensible, son changement d'attitude s'est déroulé sans la moindre explication.

Mozilla confirme le caractère "critique" de la faille : "La vulnérabilité a été jugée critique et pourrait conduire à l'exécution de code à distance par un pirate", peut-on lire sur le blog dédié aux questions de sécurité de la Fondation. Quant au patch, "la vulnérabilité a été corrigée par les développeurs et nous sommes actuellement en train de tester le correctif", qui devrait arriver officiellement le 30 Mars prochain.

D'ici là vous pouvez d'ores et déjà utiliser la version beta de Firefox 3.6.2 qui embarque dès aujourd'hui ce patch.

Firefox 3.6.2 beta est disponible sur le FTP des compilations nocturnes de la Fondation Mozilla.

Source : Le blog de Mozilla dédié à la sécurité

Lire aussi

"IE n’est pas le navigateur le plus concerné par les alertes de sécurité" d'après Microsoft
Mozilla s'est trompée sur les extensions malicieuses de Firefox, une seule serait effectivement un malware
Belgique : le gouvernement wallon impose l'usage exclusif d'Internet Explorer 6, et bannit Firefox de ses institutions

Les Rubriques (news, tutos, forums) de Developpez.com

Sécurité
Développement Web

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 23/06/2010 à 11:17
Firefox 3.6.4 et son système de protection contre les crashs
Disponibles pour Windows et Linux

Mozilla vient d'annoncer la disponibilité de Firefox 3.6.4, la dernière version de son navigateur.

Cette nouvelle version intègre le très attendu système de protection des crashs sous Windows et Linux. Elle isole à présent les plugins tiers. C'est le fameux Out-of-Process Plug-in (OOPP) alias « le projet Lorentz », qui fonctionne sur le modèle des « bac à sable » (lire ci-avant) et qui permet au navigateur de continuer à fonctionner même en cas de plantage d'un plug-in.

Il suffit simplement à l'utilisateur de rafraichir la page pour continuer à surfer.

Lors des phases de beta-test, le nombre de plantages de Firefox pour les internautes qui regardent des vidéos en ligne ou jouent dans leur navigateur aurait considérablement réduit.

« Avec la possibilité offerte par Mozilla d’alerter automatiquement les utilisateurs quand leurs plugins ne sont plus à jours, et à présent la protection contre les crashs, Firefox 3.6.4 espère mettre à disposition des utilisateurs tout le contenu qu’ils aiment consulter sur le web tout en leur permettant de rester en sécurité pendant qu’ils surfent » écrit la Fondation qui édite Firefox dans son communiqué.

Une petite phrase en dit également long sur le futur développement du navigateur : « Mozilla reconnait que les plugins occupent une place importante pour beaucoup de sites encore aujourd’hui », un constat sous forme de regret et un appel à l'adoption réelle du HTML 5. Et pas simplement à son détournement marketing par Google et Apple - comme les en accuse Christopher Blizzard, évangéliste Open Source chez Mozilla.

Aujourd’hui, « Lorentz » concerne uniquement les crashs de Flash, de Quicktime et de Silverlight sur les ordinateurs sous Windows et Linux.

Mozilla souligne que le support des autres plugins et systèmes d’exploitation sera disponible pour les prochaines mises à jour de Firefox.

Firefox 3.6.4 avec le OOPP et la mise à jour automatique des plug-ins est disponible sur cette page (ou via la fonction « rechercher des mises à jours » dans leur menu « ? » de Firefox).

Source : La Release Notes de Firefox 3.6.4, le billet de Mike Beltzner, la Crash Protection FAQ

Lire aussi :

WebM dans Firefox 4, le nouveau codec vidéo open-source fait déjà son apparition dans une version développeur du navigateur
Un membre de Mozilla reproche à Apple et Google de vouloir s'approprier le HTML5 mais félicite Microsoft pour son soutien

Et vous ?

Que pensez-vous de ces nouveautés : bienvenues ou trop tardives par rapport à la concurrence ?
2  0 
Avatar de FrenchFrogger
Membre du Club https://www.developpez.com
Le 28/06/2010 à 9:30
On passe maintenant de la version 3.6.4 à la version 3.6.6.
Cette nouvelle version passe à 45 secondes le délai de réponse laissé aux plugins ayant planté avant leurs fermeture, au lieu de 10 secondes.
2  0 
Avatar de kaymak
Membre émérite https://www.developpez.com
Le 22/03/2010 à 12:07
Mozilla confirme le caractère "critique" de la faille : "La vulnérabilité a été jugée critique et pourrait conduire à l'exécution de code à distance par un pirate", peut-on lire sur le blog dédié aux questions de sécurité de la Fondation. Quant au patch, "la vulnérabilité a été corrigée par les développeurs et nous sommes actuellement en train de tester le correctif", qui devrait arriver officiellement le 30 Mars prochain.
J'ai bien noté le *pourrait*, très important dans cette affaire.

Mais dès lors, quelles sont les conditions d'attaques pour que cette faille soit exploitée ?

Car j'ose imaginer que si elle n'est pas patchée plus rapidement, c'est parce que malgré sa criticité elle est compliqué à mettre en oeuvre.
1  0 
Avatar de ferber
Membre éprouvé https://www.developpez.com
Le 23/06/2010 à 13:23
Citation Envoyé par Gordon Fowler Voir le message
Et vous ?

Que pensez-vous de ces nouveautés : bienvenues ou trop tardives par rapport à la concurrence ?
Le progrès est toujours le bienvenue.
Une meilleure intégration des plugins est vraiment une bonne chose. Ils commencent à prendre conscience que le web ce n'est pas seulement le w3c.
En espérant qu'ils continuent sur cette lancée en intégrant flash en natif.
Ils vont dans le sens de l'ouverture et d'un meilleur confort utilisateur, ce qui est très bien.
1  0 
Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 23/06/2010 à 15:11
Citation Envoyé par vintz72 Voir le message
Je n'ai pas compris pourquoi Lorentz n'était pas dispo sur Mac ?? Quelqu'un a eu une explication ? Manque de développeurs chez Mozilla peut-être...
Citation Envoyé par ferber Voir le message
Possible, développer pour mac doit apporter un sur-coup non négligeable, je me demande si ce n'est pas un signe d'une future fin de support de la version mac.
Très bonnes questions, je dois voir des gens de Mozilla dans pas longtemps, je leur poserai la question et je vous tiens au courant.

Cordialement,

Gordon
1  0 
Avatar de ferber
Membre éprouvé https://www.developpez.com
Le 23/06/2010 à 17:45
Citation Envoyé par trenton Voir le message
Ben, l'ouverture ce sont les formats ouverts, pas les formats fermés. Les formats fermés c'est la fermeture, pas l'ouverture.
Quel rapport avec flash ? Le format flash est ouvert, les spécifications sont disponibles pour tous : http://www.adobe.com/devnet/swf/.
Donc c'est un format ouvert.
Citation Envoyé par trenton Voir le message

Dans l'idéal les webmaster arrêteraient d'utiliser flash, on aurait pas besoin de tout cela pour avoir un navigateur Web stable et rapide. Mais bon, comme certains n'en sont pas capable, c'est la seule solution...
Comme quoi : le web avance.
Et comme beaucoup je n'ai aucune bonne raison de me passer du swf.
1  0 
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 23/06/2010 à 20:18
Il ne faut pas confondre format ouvert ( spécifications disponibles et utilisation autorisée ) et code ouvert.

Il ne faut pas non plus confondre source visible et droit de reproduction. qu'un site soit fait avec ou sans javascript n'y change rien, tu peux voir les sources( html ou autre ) mais ça ne veut pas dire que t'as le droit de réutiliser ce code/partie du code... d'ailleurs tu n'as pas le droit sauf mention contraire.
La majeur partie d'internet n'est absolument pas ouverte. Et un fichier flash n'est pas plus fermé qu'une page web lambda.
1  0 
Avatar de stardeath
Expert confirmé https://www.developpez.com
Le 23/06/2010 à 22:48
Citation Envoyé par trenton Voir le message
Il n'est pas question de reproduire le site, mais de pouvoir traiter l'information : par exemple, rechercher du texte dans la page : c'est possible avec du HTML, c'est pas possible avec du flash. Agrandir le texte... Le traduire de façon automatique... Indexer la page sur un moteur de recherche... Après, je suis peut-être le seul à faire ce genre de choses... C'est bien parce que le HTML est ouvert et vraiment ouvert qu'il y a plein de navigateurs en compétition, et c'est bien parce que Flash n'est pas aussi ouvert que tout le monde dépend d'Adobe dans ce cas là...
Programme un plugin flash à ta façon, tu pourras ainsi y intégrer recherche de texte, indexation et tout le reste ...
1  0 
Avatar de stardeath
Expert confirmé https://www.developpez.com
Le 24/06/2010 à 10:35
Citation Envoyé par trenton Voir le message
Ce n'est pas possible, la technologie appartient à Adobe qui aura toujours une avance sur les autres (d'autant que d'après certains développeurs il apparaitrait que le flash d'Adobe ne corresponde pas exactement aux specs.). D'autre part, pourquoi réinventer la roue, le HTML marche très bien pour tout ce qui est site Web, je ne vois pas vraiment ce qui lui manque (même la vidéo on sait le faire dans du HTML depuis longtemps).

Enfin, si dès que quelqu'un essaye de fermer le Web, on doit travailler pour lui, on n'a pas fini...
et alors ça t'empêche de remonter tes manches et de programmer? moi pas.
c'est toujours beau de critiquer >< tu auras beau ne pas aimer le flash, il est là, tant pis pour toi. (enfin je pense, vu que tu critiques toujours, moi c'est le html que je peux pas blairer, et je me plains pas)
et non, le html ne répond à rien, sinon à quoi bon faire du flash qui est soit disant fermé, payant, le mal, va manger des enfants, etc.
le flash a répondu et répond à des besoins que html ne répond pas, bah tant pis, c'est comme ça.

Citation Envoyé par trenton Voir le message
Pourquoi dépendre d'une boite privée quand un format libre existe pour faire la même chose, et qu'il est plus efficace ?
la même chose?!? efficace?!? O_o
pareil que avant, tout le monde ne pense pas que html c'est le saint Graal.

Citation Envoyé par trenton Voir le message
Aujourd'hui, on sait faire des navigateurs Web qui ne plantent pas et qui ne consomment pas je ne sais combien de mémoire, des lecteurs flash qui ont ces caractéristiques, j'en ai pas encore vu...
et donc si je suis ton propos, gardons des technos antédiluviennes?
1  0 
Avatar de trenton
Membre expérimenté https://www.developpez.com
Le 24/06/2010 à 12:08
Citation Envoyé par ferber Voir le message
certaines des pubs sont en flash.
Concernant les vidéos, rien ne vous empêche de demander un lien directe vers la source quand quelqu'un en poste une. S'il dispose de droit sur cette dernière il sera en mesure d'ajouter un lien directe.
Ok, peut être qu'il détecte la présence du plugin alors... Moi je ne vois que des GIF.

Pour la vidéo oui je peux demander un lien directe et je le fais lorsque la vidéo m'intéresse. (mais si tout le monde le faisait ce serait tout de suite plus simple)
1  0