Une faille critique pour Firefox

Discussion dans 'Windows' créé par Noir, 8 Mai 2005.

Statut de la discussion:
Fermée.
  1. Offline
    TheNastyBoy B0rn t0 b3 r00t
    Je me permet de corriger cela : exécuter un binaire suite à une faille n'est pas plus difficile sous Linux que sous Windows. Là où se situe la différence, c'est que la plupart des gens qui utilisent Windows ont tous les droits sur leur machine. Alors que les utilisateurs Linux utilisent rarement leur compte root pour surfer ou aller sur IRC par exemple... Du coup si je suis victime de cette faille et qu'elle essaie de lancer un excutable dont la tâche est d'effacer tout le contenu de mon ordi, voici ce qui se passera : elle effacera tout le contenu de /tmp (répertoire de données temporaires), ainsi que tout le contenu de /home/monutilisateur, soit en langage windowsien, l'équivalent de mon "Documents And Settings". Donc au pire je perd mes bookmarks Mozilla et ma conf de thème et de wallpaper (tout le reste je le stocke ailleurs)

    Pour ce qui est de MacOSX, je me permet de supposer que cela sera, à quelques détails près, la même chose. De toute façon dans mon cas seul un site est autorisé à installer des trucs depuis Firefox : le site de Mozilla :D
    TheNastyBoy, 9 Mai 2005
    #21
  2. Offline
    Bingo Beer Addict
    Sous les OS Unix-Like, il faut que le bit "executable" soit défini pour que le fichier soit exécutable.
    Sous windows, il suffit que le fichier ait une extension associée à un exécutable. Par exemple un .bat de windows appelé directement sera automatiquement exécuté par command.com.
    Je me permets donc de maintenir que ça n'est pas aussi évident sous Unix ;).
    Bingo, 9 Mai 2005
    #22
  3. Offline
    TheNastyBoy B0rn t0 b3 r00t
    Un utilisateur standard a bien le droit de créer des fichiers exécutables dans son répertoire maison, sinon je n'aurais jamais pu apprendre bash et le C dans mon établissement universitaire, puisque je n'avais pas les droits root. Et donc je pouvais lancer un binaire ou un script shell. Certes, en tant qu'utilisateur de base, mais je pouvais lancer un programme...
    Cela dit la facilité de mise en oeuvre d'un exploit X ou Y est relative...
    TheNastyBoy, 9 Mai 2005
    #23
  4. Offline
    theodorus ex membre
    Bon à part le débat du bit x (les unixiens sont décidemment des obsédés) super passionnant (ben oui, c'est bien connu que Windows NT n'a pas de système de fichier capable de définir si un fichier est exécutable ou pas, enfin voyons!), je crois qu'il y a eu un malentendu sur les termes "exécution de code à distance" : ça ne veut pas dire qu'on va créer un fichier et l'exécuter (où alors c'est rare). Hop, un shellcode ou le bon appel dans telle bibliothèque et voilà, fini, pas besoin de se compliquer la vie à toucher au VFS (avec toutes les traces que ça laisse).

    Sinon, la faille n'est pas très impressionante :
    Faut pas être un génie pour appliquer une de ces deux consignes en permanence, faille ou pas.

    Et il y a toujours Dillo pour les paranos.
    theodorus, 9 Mai 2005
    #24
  5. Offline
    suPr3m_ ~ Sony Vaio ~
    Ok ... j'viens de le désactiver.
    suPr3m_, 9 Mai 2005
    #25
  6. Offline
    TheNastyBoy B0rn t0 b3 r00t
    Je préfère encore utiliser Links, pas besoin d'utiliser une version patchée pour supporter les frames :cool:
    TheNastyBoy, 9 Mai 2005
    #26
  7. Offline
    Bingo Beer Addict
    Bien-sûr, mais on sait tous que les utilisateurs de windows sont toujours administrateurs (allez, j'exagère,95% seulement des utilisateurs), et que Firefox tourne donc avec les droits d'administrateur, et que ça n'est pas vrai sous unix. C'est bien pour ça que les testcases fonctionnent tous sous windows.
    Mais ça n'est pas le débat, comme tu le dis.

    Toujours est-il que même avec javascript activé et installation de logiciels activée, cette faille était quasiment inexploitable 24 heures après sa découverte. Je trouve ça pas mal.
    Bingo, 10 Mai 2005
    #27
  8. Offline
    C@n Elite
    C'est la que tu te trompe... même si ils sont peu utiliser les failles sont là et jusqu'a preuve qu'elles soient trouvée et patchée, n'importe qui qui s'y connait l'utilisera. Un hacker va jamais dire à un autre hacker son truc.

    C'est pour cette raison que je suis rester sur IE, parce qu'il est bien armer et pourtant il y a encore des patches qui sortent.
    C@n, 10 Mai 2005
    #28
  9. Offline
    D0GMA p0rn c4t
    VIVE IE XD

    (pas taper :oops: )
    D0GMA, 10 Mai 2005
    #29
  10. Offline
    Zwane Elite
    ie est pas compatible avec les sites de cul sans protection c'est bien connu ! :D
    Zwane, 10 Mai 2005
    #30
  11. Offline
    TheNastyBoy B0rn t0 b3 r00t
    C'est vrai, c'est pas mal. Mais, au risque de trop en demander, je trouve que ça devrait être normal :roll:
    TheNastyBoy, 10 Mai 2005
    #31
  12. Offline
    kevz BF3 ?
    ca c'est la DROOOOKE !!!
    kevz, 10 Mai 2005
    #32
  13. Offline
    [Ben] Elite
    Pour FireFox, ça l'est depuis le début, mais pour IE ... on était plutôt habitué à se coller une faille pendant 6 mois, maintenant, ça m'arrange bien que plein de gens restent sous IE et qu'il reste le navigateur principal : au moins les pirates ne se concentreront pas tout de suite sur FireFox et me laissent tranquille :cool: !
    [Ben], 10 Mai 2005
    #33
  14. Offline
    theodorus ex membre
    Mais shuuut, fallait pas le dire, maintenant tous les fans d'IE vont se mettre à firefox pour nous emmerder :) .

    Et c'est vrai que IE devait être maintenu par une équipe de jobistes à mi-temps à l'époque, mais comme le dit The Nasty Boy, ce n'est pas pour ça qu'il faut se contenter de la qualité actuelle de firefox et de son maintient. Il y a encore beaucoup de boulot, et plus de testeurs il y a, mieux c'est, surtout avec le vieux code de netscape dont la sécurité est toute relative (d'ailleurs ce n'était pas un logiciel libre, donc moins de pression pour écrire du code correct).

    Et puis les fans d'IE pourraient s'y mettre aussi, parce que sans concurrence correcte, Microsoft ne sortira jamais IE 7 :D
    theodorus, 10 Mai 2005
    #34
  15. Offline
    La Poubelle Elite
    Blabala bla

    Firefox est mieux qu'IE

    Blabla bla

    IE est mieux que Firefox

    Blabla

    Linux est mieux que Windows

    Blabla bla

    Windows est mieux que Linux

    Blabla bla

    Mac est mieux que le PC

    Bla bla bla

    PC est mieux que Mac

    Bla bla bloum
    Intel est mieux que AMD

    Bla bla blom
    AMD est mieux que INTEL

    @Sponsor by Jereck ... Merci j'avais oublié :D


    Blabla bla

    Vous en avez pas marre de vos conneries, vous essayez de convaincre qui. Autant un groupe que l'autre

    C'est pas parcqu'on utilise des système/software différent d'une majorité qu'on a une couille qui gonfle et qu'on devient un pro de l'informatique :roll:

    ... Bla bla bla

    Mais qu'est-ce qui viens nous emmerder celui là :D
    La Poubelle, 10 Mai 2005
    #35
  16. Online
    Jereck Procrastinateur
    Equipe GamerZ.be
    T'as oublié Intel ou AMD
    Jereck, 10 Mai 2005
    #36
  17. Offline
    La Poubelle Elite


    :oops: :oops: :oops:






    :p
    La Poubelle, 10 Mai 2005
    #37
  18. Offline
    Aspirine Vieux de la Vieille

    ainsi que Nvidia ou ATi :D
    Aspirine, 10 Mai 2005
    #38
  19. Offline
    Fist Vieux Crouton
    Equipe GamerZ.be
    TFT CRT
    Gauche Droite
    Facho Anar
    Blanc Noir
    avec ou sans

    :wink:
    Fist, 10 Mai 2005
    #39
  20. Offline
    Bingo Beer Addict
    Quoi ??? Il y a un lien entre la taille des testicules et la geekitude ??? C'est un scoop énorme !!! :D
    Bingo, 10 Mai 2005
    #40
Statut de la discussion:
Fermée.