Hier soir tard, l'information suivante a été publiée sur Mozilla Security Center :
Security Advisory (May 8, 2005) The Mozilla Foundation is aware of two potentially critical Firefox security vulnerabilities as reported publicly Saturday, May 7th. There are currently no known active exploits of these vulnerabilities although a "proof of concept" has been reported. Changes to the Mozilla Update web service have been made to mitigate the risk of an exploit. Mozilla is aggressively working to provide a more comprehensive solution to these potential vulnerabilities and will provide that solution in a forthcoming security update. Users can further protect themselves today by temporarily disabling JavaScript or disabling "Allow web sites to install software" option in Tools > Options > Web Features.
En voici une traduction rapide :
Avis de sécurité (8 mai 2005). La Mozilla Foundation a connaissance de deux vulnérabilités potentiellement critiques pour Firefox, comme publié le 7 mai. Il n'y a actuellement aucune utilisation connue de ces vulnérabilités. Des changements ont été effectués sur le service Mozilla Update pour limiter les risques d'utilisation. Mozilla travaille d'arrache-pied pour fournir une solution plus complète à ces vulnérabilités potentielles et fournira cette solution dans le cadre d'une mise à jour de sécurité à venir. Les utilisateurs peuvent se protéger eux-même aujourd'hui en désactivant temporairement JavaScript ou l'option "permettre aux sites Web d'installer des logiciels" dans Outils > Options > Fonctionnalités Web.
A noter que la personne ayant trouvé la vulnérabilité l'avait communiquée à Mozilla Foundation en vue de participer au programme Bug Bounty (non, ça n'est pas une barre chocolatée farcie de cancrelats), mais une tierce personne mal intentionnée a publié l'info avant que le correctif ne soit sorti. Plus de détails chez Mozillazine
