Bingo a dit:
RBC9 a dit:
y a à peinr quelques semaines on y découvrait des failles
Tu veux certainement parler de
LA faille? Celle liée à l'utilisation de shell: pour l'exécution de programmes externes ?
ce n'est nullement la première , je t'accorde qu'il s'agit d'une première avec un potentiel vraiment dangereux.
une faille semblable quand au principe était apparue en decembre 2003 par exemple.
Bingo a dit:
L'exploitation de cette n'est pas évidente du tout :
1/ l'utilisateur doit cliquer sur un lien "shell:...".
comme 9* 10 dans les failles IE.
Bingo a dit:
2/ le clic sur le lien a pour effet de lancer un exécutable qui se trouve dans un chemin connu sur la machine du client, donc un exécutable windows (explorer.exe, ou ce genre de choses...) ce qui est effectivement potentiellement très dangereux, mais limite beaucoup les possibilités d'action. Il ne suffit pas de pouvoir lancer un exécutable pour faire ce qu'on veut !
3/ pour exécuter du code de son choix, l'attaquant devrait avant tout connaître un bug de dépassement de tampon (il n'y en a pas de connu à ce jour).
pas tout a fait exact ... , mais pas la peine de se prendre le choux sur un coté "technique" .. je ne defends nullement crosoft , je réagis plutot au coté ... WInSux ...
Bingo a dit:
4/ cette faille ne nécessite pas patch, juste le changement d'une variable de configuration. La méthode à employer pour se protéger a été publiée le jour même où la faille a été découverte.
comme 9* 10 dans les failles IE.(pour ce qui de l'option .. je concede volontier que dans certain cas MS réagis moins vite)
Bingo a dit:
bien plus dangereuses que les bricoles de IE. Ceci de l'aveux même des concepteurs de Mozilla ...
Tout d'abord, le fait que ce soit plus dangereux que les
bricoles d'IE est très discutable. IE contient des failles permettant à des vers de se propager, c'est à dire que du code peut être envoyé sur la machine et exécuté
sans aucune intervention de l'utilisateur. C'est quand même très grave.
des failles sans interventions de l'utilisateurs ont existées, c est clair .. mais bcp d'autres failles étaient identiques a cellle de mozi , ce qui n'a pas empecher de crier au loup dans tout les coins.
Bingo a dit:
Ensuite, les concepteurs de Mozilla avouent effectivement que cette faille était très dangereuse, mais ils n'ont pas avoué qu'elle était plus dangereuse que les failles de IE, contrairement à ce que ta phrase à l'air de suggérer.
je n'ai plus le lien vers l'article en question , mais je t'assure qu'il s'agit bien de ce genre de propos , non pas "plus dangereuses "... mais plutot , "potentiellment aussi dangereuses". .. cela te conviend t il mieux ?
now , un petit mot quand a la réactivité de M$ pour corriger ....
oui , dans certains cas , ils mettent du temps a émettre un patch ou une solution , mais ou je suis un rien énervé , c'est quand on prétend qu'ils s en foutent et sont toujours a la traine ...
par exemple , il y a quelques moi , une faille est découverte concernant un prob de mot de pass ... moins de 48 h apres MS apportait la solution, .. et bien malgré cela ... ce sujet continuait de faire les gorges chaudes tout en pronant ce genre de propos quand a leur "vitesse" de réaction.
Ce n'est parceque les developpeurs sont réactifs qu'on évite forcement une épidemie due à une faille.
Une exemple tout con : si tout le monde avait su mettre à jour windows, blaster n'aurait jamais fait parlé de lui étant donné que le patch existait avant même l'arrivée du ver. Comme d'ailleurs pour bcp de ver ou virus ...
Je ne soutiens personne, je constate juste qu'il ne faut pas accabler les developpeurs toutes compagnies confondues