Une faille critique pour Firefox

Statut
N'est pas ouverte pour d'autres réponses.
TheNastyBoy

TheNastyBoy

B0rn t0 b3 r00t
Bingo a dit:
Je ne pense pas que les systèmes Unix ou MacOS soient vulnérables, parce que l'exécution d'un fichier n'est pas aussi triviale que sous windows.
Cliquez pour agrandir...
Je me permet de corriger cela : exécuter un binaire suite à une faille n'est pas plus difficile sous Linux que sous Windows. Là où se situe la différence, c'est que la plupart des gens qui utilisent Windows ont tous les droits sur leur machine. Alors que les utilisateurs Linux utilisent rarement leur compte root pour surfer ou aller sur IRC par exemple... Du coup si je suis victime de cette faille et qu'elle essaie de lancer un excutable dont la tâche est d'effacer tout le contenu de mon ordi, voici ce qui se passera : elle effacera tout le contenu de /tmp (répertoire de données temporaires), ainsi que tout le contenu de /home/monutilisateur, soit en langage windowsien, l'équivalent de mon "Documents And Settings". Donc au pire je perd mes bookmarks Mozilla et ma conf de thème et de wallpaper (tout le reste je le stocke ailleurs)

Pour ce qui est de MacOSX, je me permet de supposer que cela sera, à quelques détails près, la même chose. De toute façon dans mon cas seul un site est autorisé à installer des trucs depuis Firefox : le site de Mozilla :mrgreen:
 
Bingo

Bingo

Beer Addict
TheNastyBoy a dit:
Je me permet de corriger cela : exécuter un binaire suite à une faille n'est pas plus difficile sous Linux que sous Windows. Là où se situe la différence, c'est que la plupart des gens qui utilisent Windows ont tous les droits sur leur machine.
Cliquez pour agrandir...
Sous les OS Unix-Like, il faut que le bit "executable" soit défini pour que le fichier soit exécutable.
Sous windows, il suffit que le fichier ait une extension associée à un exécutable. Par exemple un .bat de windows appelé directement sera automatiquement exécuté par command.com.
Je me permets donc de maintenir que ça n'est pas aussi évident sous Unix ;).
 
TheNastyBoy

TheNastyBoy

B0rn t0 b3 r00t
Bingo a dit:
Sous les OS Unix-Like, il faut que le bit "executable" soit défini pour que le fichier soit exécutable.
Cliquez pour agrandir...
Un utilisateur standard a bien le droit de créer des fichiers exécutables dans son répertoire maison, sinon je n'aurais jamais pu apprendre bash et le C dans mon établissement universitaire, puisque je n'avais pas les droits root. Et donc je pouvais lancer un binaire ou un script shell. Certes, en tant qu'utilisateur de base, mais je pouvais lancer un programme...
Cela dit la facilité de mise en oeuvre d'un exploit X ou Y est relative...
 
T

theodorus

ex membre
Bon à part le débat du bit x (les unixiens sont décidemment des obsédés) super passionnant (ben oui, c'est bien connu que Windows NT n'a pas de système de fichier capable de définir si un fichier est exécutable ou pas, enfin voyons!), je crois qu'il y a eu un malentendu sur les termes "exécution de code à distance" : ça ne veut pas dire qu'on va créer un fichier et l'exécuter (où alors c'est rare). Hop, un shellcode ou le bon appel dans telle bibliothèque et voilà, fini, pas besoin de se compliquer la vie à toucher au VFS (avec toutes les traces que ça laisse).

Sinon, la faille n'est pas très impressionante :
Le FrSIRT préconise les mesures suivantes :

- Désactiver JavaScript ou désactiver l'option "Permettre aux sites web d'installer des logiciels"
Cliquez pour agrandir...
Faut pas être un génie pour appliquer une de ces deux consignes en permanence, faille ou pas.

Et il y a toujours Dillo pour les paranos.
 
suPr3m_

suPr3m_

~ Sony Vaio ~
Ok ... j'viens de le désactiver.
 
TheNastyBoy

TheNastyBoy

B0rn t0 b3 r00t
theodorus a dit:
Et il y a toujours Dillo pour les paranos.
Cliquez pour agrandir...
Je préfère encore utiliser Links, pas besoin d'utiliser une version patchée pour supporter les frames :cool:
 
Bingo

Bingo

Beer Addict
theodorus a dit:
ben oui, c'est bien connu que Windows NT n'a pas de système de fichier capable de définir si un fichier est exécutable ou pas, enfin voyons!
Cliquez pour agrandir...
Bien-sûr, mais on sait tous que les utilisateurs de windows sont toujours administrateurs (allez, j'exagère,95% seulement des utilisateurs), et que Firefox tourne donc avec les droits d'administrateur, et que ça n'est pas vrai sous unix. C'est bien pour ça que les testcases fonctionnent tous sous windows.
Mais ça n'est pas le débat, comme tu le dis.

Toujours est-il que même avec javascript activé et installation de logiciels activée, cette faille était quasiment inexploitable 24 heures après sa découverte. Je trouve ça pas mal.
 
C@n

C@n

Elite
MaRTIaL a dit:
Jarooo a dit:
victime de son succès malheureusement, tous les softs ont des failles, mais tant qu'ils sont peu utilisés, personne ne les exploite :p
Cliquez pour agrandir...
Cliquez pour agrandir...
C'est la que tu te trompe... même si ils sont peu utiliser les failles sont là et jusqu'a preuve qu'elles soient trouvée et patchée, n'importe qui qui s'y connait l'utilisera. Un hacker va jamais dire à un autre hacker son truc.

C'est pour cette raison que je suis rester sur IE, parce qu'il est bien armer et pourtant il y a encore des patches qui sortent.
 
D0GMA

D0GMA

p0rn c4t
VIVE IE XD

(pas taper :oops: )
 
Zwane

Zwane

Elite
C @ n a dit:
MaRTIaL a dit:
Jarooo a dit:
victime de son succès malheureusement, tous les softs ont des failles, mais tant qu'ils sont peu utilisés, personne ne les exploite :p
Cliquez pour agrandir...
Cliquez pour agrandir...
C'est la que tu te trompe... même si ils sont peu utiliser les failles sont là et jusqu'a preuve qu'elles soient trouvée et patchée, n'importe qui qui s'y connait l'utilisera. Un hacker va jamais dire à un autre hacker son truc.

C'est pour cette raison que je suis rester sur IE, parce qu'il est bien armer et pourtant il y a encore des patches qui sortent.
Cliquez pour agrandir...
ie est pas compatible avec les sites de cul sans protection c'est bien connu ! :D
 
TheNastyBoy

TheNastyBoy

B0rn t0 b3 r00t
Bingo a dit:
Toujours est-il que même avec javascript activé et installation de logiciels activée, cette faille était quasiment inexploitable 24 heures après sa découverte. Je trouve ça pas mal.
Cliquez pour agrandir...
C'est vrai, c'est pas mal. Mais, au risque de trop en demander, je trouve que ça devrait être normal :roll:
 
[Ben]

[Ben]

Elite
TheNastyBoy a dit:
Bingo a dit:
Toujours est-il que même avec javascript activé et installation de logiciels activée, cette faille était quasiment inexploitable 24 heures après sa découverte. Je trouve ça pas mal.
Cliquez pour agrandir...
C'est vrai, c'est pas mal. Mais, au risque de trop en demander, je trouve que ça devrait être normal :roll:
Cliquez pour agrandir...
Pour FireFox, ça l'est depuis le début, mais pour IE ... on était plutôt habitué à se coller une faille pendant 6 mois, maintenant, ça m'arrange bien que plein de gens restent sous IE et qu'il reste le navigateur principal : au moins les pirates ne se concentreront pas tout de suite sur FireFox et me laissent tranquille :cool: !
 
T

theodorus

ex membre
[Ben a dit:
]
TheNastyBoy a dit:
Bingo a dit:
Toujours est-il que même avec javascript activé et installation de logiciels activée, cette faille était quasiment inexploitable 24 heures après sa découverte. Je trouve ça pas mal.
Cliquez pour agrandir...
C'est vrai, c'est pas mal. Mais, au risque de trop en demander, je trouve que ça devrait être normal :roll:
Cliquez pour agrandir...
Pour FireFox, ça l'est depuis le début, mais pour IE ... on était plutôt habitué à se coller une faille pendant 6 mois, maintenant, ça m'arrange bien que plein de gens restent sous IE et qu'il reste le navigateur principal : au moins les pirates ne se concentreront pas tout de suite sur FireFox et me laissent tranquille :cool: !
Cliquez pour agrandir...
Mais shuuut, fallait pas le dire, maintenant tous les fans d'IE vont se mettre à firefox pour nous emmerder :) .

Et c'est vrai que IE devait être maintenu par une équipe de jobistes à mi-temps à l'époque, mais comme le dit The Nasty Boy, ce n'est pas pour ça qu'il faut se contenter de la qualité actuelle de firefox et de son maintient. Il y a encore beaucoup de boulot, et plus de testeurs il y a, mieux c'est, surtout avec le vieux code de netscape dont la sécurité est toute relative (d'ailleurs ce n'était pas un logiciel libre, donc moins de pression pour écrire du code correct).

Et puis les fans d'IE pourraient s'y mettre aussi, parce que sans concurrence correcte, Microsoft ne sortira jamais IE 7 :mrgreen:
 
La Poubelle

La Poubelle

Pou'r allé Danché
Blabala bla

Firefox est mieux qu'IE

Blabla bla

IE est mieux que Firefox

Blabla

Linux est mieux que Windows

Blabla bla

Windows est mieux que Linux

Blabla bla

Mac est mieux que le PC

Bla bla bla

PC est mieux que Mac

Bla bla bloum
Intel est mieux que AMD

Bla bla blom
AMD est mieux que INTEL

@Sponsor by Jereck ... Merci j'avais oublié :mrgreen:

Blabla bla

Vous en avez pas marre de vos conneries, vous essayez de convaincre qui. Autant un groupe que l'autre

C'est pas parcqu'on utilise des système/software différent d'une majorité qu'on a une couille qui gonfle et qu'on devient un pro de l'informatique :roll:

... Bla bla bla

Mais qu'est-ce qui viens nous emmerder celui là :mrgreen:
 
Jereck

Jereck

Α & Ω
Staff
T'as oublié Intel ou AMD
 
Fist

Fist

‼️‼️‼️‼️‼️
TFT CRT
Gauche Droite
Facho Anar
Blanc Noir
avec ou sans

:wink:
 
Bingo

Bingo

Beer Addict
AGain a dit:
C'est pas parcqu'on utilise des système/software différent d'une majorité qu'on a une couille qui gonfle et qu'on devient un pro de l'informatique
Cliquez pour agrandir...
Quoi ??? Il y a un lien entre la taille des testicules et la geekitude ??? C'est un scoop énorme !!! :D
 
Statut
N'est pas ouverte pour d'autres réponses.
Haut