Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

YUI 3.10.1 :
Correction d'une vulnérabilité au niveau des fichiers SWF

Le , par vermine, Responsable JavaScript & AJAX
YUI 3.10.1 est disponible
et corrige une vulnérabilité au niveau des fichiers SWF


L'équipe de Yahoo! sort une nouvelle révision de la bibliothèque JavaScript : YUI 3.10.1.

Elle est importante car elle contient la correction d'une vulnérabilité au niveau des fichiers .swf. La faille se situe dans la gestion des URL. L'équipe Google a constaté qu'une URL soigneusement construite peut accéder directement aux fichiers .swf. Ce qui pourrait amener à exécuter du JavaScript dans le contexte des fichiers .swf hébergés et ainsi exposer les cookies ou les autres informations sensibles du site. L'équipe de Yahoo! a donc adapté son code pour que cela n'arrive pas.

Pour corriger le bogue, vous trouverez la marche à suivre ici.

Au revoir

C'est l'occasion d'annoncer que SimpleYUI est officiellement déprécié. De même, toutes les fonctionnalités .swf devraient être dépréciées dans une version ultérieure.

Téléchargement.
L'article officiel.
La documentation.


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de vermine vermine - Responsable JavaScript & AJAX https://www.developpez.com
le 05/06/2013 à 8:54
YUI 3.10.2 est disponible
Nettoyage de printemps pour la bibliothèque JavaScript de Yahoo!


L'équipe de Yahoo! sort une nouvelle révision de la bibliothèque JavaScript : YUI 3.10.2.

Cette révision consiste en un nettoyage de printemps du code (principalement des corrections de bogues et des améliorations). Des tests en profondeur ont été et seront exécutés pour assurer le support des environnements cibles de YUI.

Dans cette révision

Vous trouverez par exemple :

  • la suppression de la balise code inutile pour les Anim Utility ;
  • dans App Framework, Routeur effectue sa distribution correctement lorsque vous utilisez des URL basées sur le hachage ;
  • une petite correction sur AttributeObservable qui découle d'une adaptation faite dans la version précédente lors du positionnement des attributs ;
  • Y.Color n'est plus une classe DOM ;
  • quelques corrections sur les modules Event et Custom Event ;
  • etc.


Au revoir

SimpleYUI est toujours déprécié mais pas encore retiré du code contrairement à Profiler qui ne fait plus partie de la bibliothèque YUI.

Téléchargement.
L'article officiel.
La documentation.
Avatar de vermine vermine - Responsable JavaScript & AJAX https://www.developpez.com
le 07/06/2013 à 8:55
YUI 3.10.3 est disponible
et corrige une vulnérabilité


L'équipe de Yahoo! sort (déjà !) une nouvelle révision de la bibliothèque JavaScript : YUI 3.10.3.

Elle est importante car elle contient la correction de la réintroduction d'une vulnérabilité au niveau des fichiers .swf. Pas d'chance ! Cette erreur provient d'une simple faute d'inattention. Chose qui peut arriver à tout le monde.

La faille se situe dans le fichier io.swf de la version 3.10.2 (et uniquement celui de cette version). Si vous ne l'utilisez pas, il n'y a pas d'inquiétude à avoir mais il est toujours bon de se mettre à jour pour éviter tout problème futur.

Téléchargement.
L'article officiel.
La documentation.
Offres d'emploi IT
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Responsable bénévole de la rubrique JavaScript : Xavier Lecomte -