Chemspill pour Firefox, Thunderbird, SeaMonkey…

Un chemspill (pour « chemical spill », qu’on peut traduire par « fuite chimique ») est une parution de Firefox ou SeaMonkey faite en dehors du calendrier classique de 6 semaines ou hors calendrier pour Thunderbird. Il est souvent fait à la suite de la découverte d’un bogue sérieux ou d’un problème de sécurité public. Hier, Mozilla a réagi à la découverte d’une vulnérabilité critique en publiant des versions de correction pour toutes les versions des logiciels qu’il supporte.

Il s’agissait de corriger une vulnérabilité de contrefaçon de certificat dans NSS qui a été découverte par deux groupes indépendants de chercheurs (dont un chercheur en sécurité de l’Inria Paris) Elle permet à un attaquant expert de se faire passer pour n’importe quel site.

En termes simples, cela signifie que vous pourriez avoir été sur le site de votre banque, sans savoir si c’était votre banque ou un site malveillant se faisant passer pour votre banque. Ce problème dépasse largement le périmètre de Mozilla et touche de nombreux autres projets et produits qui utilisent NSS pour la gestion des certificats.

Vous devez mettre à jour tous vos Mozilla Firefox, Thunderbird et SeaMonkey quelque soit le canal sur lequel vous vous trouvé (Release, Beta, Aurora, Nightly, ESR ; l’item de menu « À propos de » vous l’indique). Les versions corrigées que vous devez faire tourner désormais sont :

  • Mozilla Firefox :
    • Firefox 32.0.3
    • Firefox 33 bêta 7
    • Firefox Aurora 24/09/2014 ou postérieur
    • Firefox Nightly 24/09/2014 ou postérieur
    • Firefox pour Android 32.0.3
    • Firefox pour Android 31.1.1
    • Firefox pour Android 33 bêta 7
    • Firefox pour Android Aurora 24/09/2014 ou postérieur
    • Firefox pour Android nuit 24/09/2014 ou postérieur
    • Firefox ESR 31.1.1
    • Firefox ESR 24.8.1
  • Thunderbird :
    • Thunderbird 31.1.2
    • Thunderbird 24.8.1
  • SeaMonkey :
    • SeaMonkey 2.29.1 (en cours)
    • SeaMonkey 2.30 bêta 1 (prévu pour le début de la semaine prochaine)
  • Cela affecte-t-il Firefox OS ? Mozilla déjà intégré le correctif sur toutes les branches actives (2.2, 2.1, 2.0, 1.4) et ils travaillent avec leurs partenaires pour pousser les correctifs vers leurs clients.

Pour Lawrence Mandel de Mozilla, publier tant de mises à jour de produits en une seule journée a été un fantastique tour de force. Cela est d’autant plus impressionnant quand on considère qu’ils ont dû coordonner leur calendrier de sortie avec d’autres compagnies. Il tient à remercier tous ceux qui ont participé à ces sorties avec un remerciement tout spécial pour le contributeur Kai Engert (RedHat).

Article repris de BlogZiNet avec l’accord de l’auteur.

Illustration réalisée à partir d’une œuvre de lisaamybeth.

Vus : 496
Publié par mozillaZine-fr : 375