Faille de sécurité dans mozilla

Une journée intéressante qui montre comment on gère une faille de sécurité chez Mozilla.

Le 7 juillet, une faille de sécurité est découverte permettant de lancer à distance des programmes sur windows (le bloc note par exemple), c'est donc une faille de sécurité sérieuse. Voici le bug : 250180

Immédiatement une branche de développement est créée pour préparer tout de suite un firefox 0.9.2, un mozilla 1.7.1 et un thunderbird 0.7.2.

La presse mozilla s'affole, articles sur mozillazine, blogueurs furieux contre le manque de communication...

Le 8, un patch sous la forme d'une extension est disponible sur le nouveau site de mise à jour de mozilla (Patch) et un communiqué de presse détaillé expliquant la mise en place du patch (cliquez sur le lien, cliquez sur Install et voilà) est mis en ligne

Les commentaires continuent, ceux qui ralaient contre le manque de communication, protestent maintenant car ils estiment qu'on aurait dû utiliser le mécanisme de mise à jour automatique de Firefox (qui vient juste d'être mis en place), personnellement je pense que pour ce genre de patch de sécurité, on utilise pas encore un web service à peine sorti du four...

Quelques heures plus tard, les nouvelles versions de Mozilla sont disponibles en téléchargement :

mozilla.org

En moins de 48 heures donc, la faille est comblée à tous les niveaux : nouvelles versions de toute la gamme, patch à installer en deux clics pour les vieilles versions, communication en page principale de mozilla.org, utilisation du nouveau site de mise à jour pour mettre le patch à disposition.

Qui dit mieux ?

Haut de page