Firefox 3.6.6 : plus souple sur les plug-ins capricieux
Heu...et sur les failles ?
Firefox 3.6.4 est sorti la semaine dernière et a amené avec lui un changement important : l’isolation des plug-ins. Cela signifie que chacun d’entre eux fonctionne dans un espace mémoire bien séparé du reste du navigateur. Mozilla a apporté cependant un changement dans ce fonctionnement pour assouplir le comportement de son produit quand un plug-in se montre capricieux.
Il s’agit sans doute de l’un des changements les plus attendus. L’isolation des plug-ins signifie que Firefox ne plantera pas si l’un des plug-ins s’emballe. C’est du moins le comportement attendu. Du fait de l’isolation, si Flash ou Silverlight vient à planter, il « crashe dans son coin » sans ennuyer le reste du monde. Ces deux plug-ins sont donc pris en charge, de même que QuickTime. Sur le plan de la stabilité, c’est nécessairement une bonne nouvelle.
Mozilla a estimé cependant que le comportement de Firefox était un rien trop agressif dans le délai qu’il reste au plug-in pour répondre. La version 3.6.6 atténue donc légèrement la réplique du navigateur en permettant aux plug-ins de prendre un peu plus de temps pour répondre en cas de blocage momentané, ou simplement de surcharge ponctuelle des ressources.
Il s’agit malheureusement de la seule modification apportée par cette mise à jour. Pourquoi malheureusement ? Parce que, comme nous l’indiquions dans nos colonnes, la version 3.6.4 de Firefox était livrée avec une faille de sécurité :
« Le problème vient du fait que la page about:blank (en français "sans titre") affichée est considérée comme ayant la même origine que le site qui a provoqué son ouverture, permettant à un attaquant d'y mettre le contenu qu'il veut. Même l'animation de chargement peut être effacée, faisant croire à l'internaute qu'il est bien arrivé sur sa page, avec la bonne URL et le bon contenu, alors qu'il est en train de se faire attaquer. »
Une faille qui devait être rebouchée avec la nouvelle mouture 3.6.6, mais les notes de version de cette dernière n’en font nulle part mention, pas plus que la liste complète des modifications, qui ne contient qu’une seule entrée.
Il s’agit sans doute de l’un des changements les plus attendus. L’isolation des plug-ins signifie que Firefox ne plantera pas si l’un des plug-ins s’emballe. C’est du moins le comportement attendu. Du fait de l’isolation, si Flash ou Silverlight vient à planter, il « crashe dans son coin » sans ennuyer le reste du monde. Ces deux plug-ins sont donc pris en charge, de même que QuickTime. Sur le plan de la stabilité, c’est nécessairement une bonne nouvelle.
Mozilla a estimé cependant que le comportement de Firefox était un rien trop agressif dans le délai qu’il reste au plug-in pour répondre. La version 3.6.6 atténue donc légèrement la réplique du navigateur en permettant aux plug-ins de prendre un peu plus de temps pour répondre en cas de blocage momentané, ou simplement de surcharge ponctuelle des ressources.
Il s’agit malheureusement de la seule modification apportée par cette mise à jour. Pourquoi malheureusement ? Parce que, comme nous l’indiquions dans nos colonnes, la version 3.6.4 de Firefox était livrée avec une faille de sécurité :
« Le problème vient du fait que la page about:blank (en français "sans titre") affichée est considérée comme ayant la même origine que le site qui a provoqué son ouverture, permettant à un attaquant d'y mettre le contenu qu'il veut. Même l'animation de chargement peut être effacée, faisant croire à l'internaute qu'il est bien arrivé sur sa page, avec la bonne URL et le bon contenu, alors qu'il est en train de se faire attaquer. »
Une faille qui devait être rebouchée avec la nouvelle mouture 3.6.6, mais les notes de version de cette dernière n’en font nulle part mention, pas plus que la liste complète des modifications, qui ne contient qu’une seule entrée.
Téléchargements
Versions françaises : Versions anglaises :
Source :
Mozilla
Vincent Hermann
le 28 juin 2010 à 12:20
(19 652
lectures)
Actualités et brèves relatives
- 23 / 06 / 2010 : Sortie de Firefox 3.6.4 : il isole les plugins mais laisse une faille ...
- 22 / 06 / 2010 : Chrome démarre-t-il plus vite que Firefox ?
- 18 / 06 / 2010 : Confidentialité : HTTPS Everywhere, l'extension Firefox de l'EFF
- 11 / 06 / 2010 : Firefox 4 intègre le support du codec WebM
- 10 / 06 / 2010 : Firefox 4.0 : de nouvelles maquettes d'interface pour Windows
- 02 / 06 / 2010 : Mozilla : Weave devient Firefox Sync et se veut universel
- 31 / 05 / 2010 : Firefox 4 : les moutures Windows/OSX 64 bits apparaissent
- 31 / 05 / 2010 : Firefox 4 : Mozilla en dit davantage pour les développeurs
