Les distributions Linux ne mettent pas à jour WebKit, ce qui rend les navigateurs Web et les clients de messagerie vulnérables. ; Avec WebKit, les correctifs nécessaires tombent dans les failles.

Le problème avec WebKit

La plupart des navigateurs web publient régulièrement des mises à jour de sécurité pour leurs utilisateurs. Cependant, si vous utilisez un navigateur basé sur WebKit ou un client de messagerie, ou toute autre application utilisant ce moteur de rendu, sur Linux, vous n'obtenez certainement pas de mises à jour de sécurité.

WebKit est un grand open-source projet. Apple utilise WebKit pour Safari sur Mac et iOS, et ces versions de WebKit reçoivent régulièrement des mises à jour de sécurité.

[Plus d'informations: 4 projets Linux pour les débutants et les utilisateurs intermédiaires]

Le port commun utilisé par les distributions Linux est WebKitGTK +, qui est associé au logiciel GNOME et aux autres applications qui utilisent la boîte à outils GTK +. Cela inclut Epiphany, le navigateur Web phare de GNOME, souvent appelé simplement «Web» ou «GNOME Web». Il inclut également une variété d'autres applications, telles que le client de messagerie Evolution, le navigateur Web Midori, le programme d'édition d'images GIMP, Banshee et Rhythmbox. lecteurs multimédias et de nombreux autres programmes.

Historiquement, WebKitGTK + n'a pas eu de mises à jour de sécurité. Des mises à jour ont été publiées avec des correctifs de sécurité, mais le projet ne fournissait pas de numéros CVE. Les distributions Linux ne les ont donc pas publiées en tant que mises à jour. Cependant, le projet a publié une liste d'avis de sécurité sur plus de 130 numéros fixes à la fin du mois de décembre. C'était il y a plus d'un mois, et seulement Fedora a fait des changements pour accommoder ces mises à jour. Pire encore, même si ces mises à jour étaient fréquemment lancées, certaines applications reposent encore sur d'anciennes versions de WebKit qui ne reçoivent plus aucune mise à jour, y compris les mises à jour de sécurité.

Ce problème n'est pas qu'un problème GNOME. Le projet KDE s'éloigne de WebKit pour se tourner vers QtWebEngine, basé sur Chromium. Mais de nombreuses applications reposent encore sur un port WebKit appelé QtWebKit, qui est maintenant obsolète depuis des années. Des applications comme le client de messagerie KMail, le navigateur Web Rekonq, le client KTorrent BitTorrent, le lecteur multimédia Amarok et d'autres utilisent cette ancienne version de WebKit, qui contient de nombreuses failles de sécurité.

Ce n'est même pas un problème Linux. Tout jeu PC ou toute autre application Windows livrée avec une version embarquée de WebKit a probablement aussi un grand nombre de failles de sécurité non corrigées dans son navigateur Web intégré.

C'est un sujet important. Ubuntu inclut Firefox et Thunderbird, et c'est probablement pour le mieux.

Gecko de Mozilla et Blink de Google obtiennent des mises à jour

Pour rester correctement sécurisé lors de la navigation sur le Web Sous Linux, vous devez éviter les navigateurs Web basés sur WebKit. Les navigateurs Web basés sur Mozilla Firefox et le projet Chromium de Google reçoivent des mises à jour de sécurité en temps opportun, et ils devraient être vos options préférées. Debian conseille officiellement d'utiliser un navigateur basé sur Firefox ou Chromium pour cette raison

Le navigateur web Mozilla Firefox que certaines distributions Linux utilisent est bon, bien qu'il puisse être appelé par un nom différent. Sur Debian, par exemple, ça s'appelle Iceweasel. Ces navigateurs sont basés sur le moteur Gecko de Mozilla.

Certaines distributions Linux fournissent Chromium, la version open-source de Google Chrome. Il reçoit également des mises à jour de sécurité. Vous pouvez également installer Google Chrome directement depuis Google, et Google vous fournira ses propres mises à jour de sécurité. Ces navigateurs utilisent le moteur Blink de Google.

Essayez de rester à l'écart des clients de messagerie qui dépendent également de WebKit. Vous pouvez utiliser l'e-mail basé sur le Web ou essayer Mozilla Thunderbird sur ordinateur. Comme Firefox, il est basé sur le moteur Gecko de Mozilla. Thunderbird ne reçoit pas de nouvelles fonctionnalités, mais reçoit des mises à jour de sécurité.

Si vous souhaitez utiliser des applications WebKit, vous devez utiliser une distribution Linux qui diffuse régulièrement des versions mises à jour de WebKitGTK + peu après leur publication. Selon l'article du blog, il s'agit actuellement uniquement de Fedora et Arch, bien que les versions de test de Debian, OpenSUSE et Gentoo soient également mises à jour. Même si vous utilisez ces distributions Linux, les applications elles-mêmes qui reposent sur les anciens ports de WebKit seront toujours vulnérables.