mozillaZine

Ce que les utilisateurs de Firefox et de Mozilla doivent connaître sur le problème de sécurité de dépassement de mémoire tampon des noms de domaine internationalisés (IDN)

vendredi 9 septembre 2005

Par The Mozilla Foundation

Le 6 septembre, une vulnérabilité de sécurité touchant toutes les versions de Mozilla Firefox et la suite Mozilla a été signalée à Mozilla par Tom Ferris et a été divulguée publiquement le 8 septembre.

Le 9 septembre, l'équipe de Mozilla a publié un changement de la configuration qui résout le problème en désactivant explicitement les noms de domaine internationalisés (IDN) dans le navigateur. Le correctif consiste soit en un changement manuel de la configuration soit en un petit téléchargement qui fait ce changement de configuration pour l'utilisateur. Les instructions pour appliquer ces changements peuvent être trouvées ci-dessous.

Comment mettre à jour

Il y a deux méthodes pour résoudre ce problème. La première méthode consiste à installer un petit téléchargement et la seconde méthode consiste à changer manuellement la configuration du navigateur.

Installation du correctif

  • Pour installer le correctif de sécurité pour Firefox et la suite Mozilla, suivez ces instructions :
    1. Les utilisateurs de Firefox et de la suite Mozilla copient et collent cette adresse dans le champ d'adresse et appuient sur Entrée :
      http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/307259.xpi
      ou cliquez sur ce lien : http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/307259.xpi
    2. Dans la fenêtre d'installation de logiciels, cliquez sur le bouton « Installer maintenant ».
    3. Quittez et redémarrez votre navigateur Mozilla ou Firefox.

  • Pour vérifier la correction dans Firefox et la suite Mozilla, assurez-vous de redémarrer le navigateur et ensuite suivez ces étapes :
    1. Dans Firefox, cliquez sur ? (Aide) -> A propos de Mozilla Firefox et vérifiez que l'identifiant du navigateur (user agent string) contienne "(noIDN)"
    2. Dans la suite Mozilla cliquez sur Aide -> A propos de Mozilla et vérifiez que l'identifiant du navigateur (user agent string) contienne "(noIDN)"

Configuration manuelle du navigateur

  • Pour changer manuellement la configuration du navigateur pour Firefox ou la suite Mozilla, suivez ces instructions :
    1. Saisissez about:config dans le champ d'adresse et appuyez sur Entrée.
    2. Dans la barre « Filtre », saisissez network.enableIDN.
    3. Cliquez-droit sur l'entrée network.enableIDN et choisissez « Inverser » pour changer la valeur en « false ».

  • Pour vérifier la correction dans votre application Firefox ou Mozilla, assurez-vous de redémarrer le navigateur et ensuite suivez ces étapes :
    1. Saisissez about:config dans le champ d'adresse et appuyez sur Entrée.
    2. Dans la barre « Filtre », saisissez network.enableIDN.
    3. Assurez-vous que la valeur de cette entrée est « false ».

Nous estimons la sûreté et la sécurité de nos utilisateurs et continuerons à faire des efforts pour sortir des produits sûrs et à répondre rapidement quand des vulnérabilités de sécurité sont identifiées dans nos logiciels.

Traduction par MozillaZine-fr du bulletin du 9 septembre 2005 de la Mozilla Foundation sous licence Creative Commons : « Paternité – Partage des conditions initiales à l'identique 2.0 ».

Voir les commentaires ? Réagissez !