Vous avez dit "buffer overrun" ?

Posté par Anonyme le 24 novembre 2000 à 08:10. Modéré par Yann Hirou.

Étiquettes :

nov.

2000

Microsoft a lancé un bulletin de sécurité dont ils ont le secret : deux failles dans ... Media Player !
Le truc : les scripts dans les skins de ce programme et les streams qui peuvent permettre aux virtuoses de jouer avec votre PC :)

A ce rythme, on pourra bientôt faire du MSAnyWhere grâce à Notepad...

Aller plus loin

le bulletin ms (2 clics)

# il est ou le patch !!!!!!!

Posté par Anonyme le 24 novembre 2000 à 13:14. Évalué à 0.

j ai beau chercher je ne le vois pas
- [^] # Re: il est ou le patch !!!!!!!
  
  Posté par dguihal le 24 novembre 2000 à 13:19. Évalué à 1.
  
  Attends la prochaine version de zindoz (à 250000 M$) la mise à jour
  - [^] # Re: il est ou le patch !!!!!!!
    
    Posté par Anonyme le 24 novembre 2000 à 17:29. Évalué à 1.
    
    Tiens, MS va augmenter ses prix de 6,5%.
    C'est le banquier de Billou, qui va être content !
    - [^] # Re: il est ou le patch !!!!!!!
      
      Posté par Anonyme le 24 novembre 2000 à 19:27. Évalué à 0.
      
      Fo toujours avoir une petite reserve d'argent (on ne sait jamais par les temps qui courent)
# droits d acees selon microsoft

Posté par Anonyme le 24 novembre 2000 à 13:25. Évalué à 0.

"If the victim had only limited privileges on the machine, the malicious user?s code would be
similarly limited. However, in most cases even an unprivileged user could add, delete or change
data files, run programs, send data to or receive data from a web site, and so forth - so the
malicious user?s code could take these actions as well. "

heureusement qu on ne peut pas faire grand chose avec des "limited privileges", juste rajouter, changer ou effacer des fichiers, executer des
programmes, envoyer et recevoir des donnees...etc

chez minimou la securite ca compte

maintenant on sait quel outil ultra performant a ete utilise pour hacker leur reseau: le m3dia playerz
- [^] # Re: droits d acees selon microsoft
  
  Posté par Antoine Labour le 24 novembre 2000 à 14:01. Évalué à 1.
  
  "He could host an .ASX file on a web site and cause it to be launched automatically whenever someone visited the site. He would then need to either wait for a victim to visit his site, or he could send an HTML mail that, when opened, would open a browser window to the site."
  C'est beau les trucs automatiques. Je suis prêt à parier que si on envoie un mail en html avec un .ASX bidouillé dedans, Outlook Express va l'ouvrir et éxécuter le code mailicieux... Lovebug v2.0 ?
- [^] # Re: droits d acees selon microsoft
  
  Posté par dguihal le 24 novembre 2000 à 14:38. Évalué à 1.
  
  Si l'utilisateur sans privilege a le droit dse faire tout ca, on peut se poser une question : "Mais qe reste t'il au root (oups parton Administrator)", pt'et qu'il a un bouton pour faire exploser la machine (comme ca, les virus ils sont elimines)?
  - [^] # Re: droits d acees selon microsoft
    
    Posté par T Sang Neuf le 24 novembre 2000 à 22:53. Évalué à 1.
    
    Root, ainsi qu'Administrateur, a le privilege d'exploser son Hardware. Mais c'est a peu son seul luxe.
    Regarde un peu tout ce que tu peux faire sous le login Toto : énormément de choses et en plus, sous Unix, tu as a disposition plein d'outils costauds qu'on ne te proposera pas sous NT.
    
    <pas taper>
    D'autre part, NT est plus jeune qu'Unix et donc ses possibilites en termes de cloisonnements sont beaucoup plus élaborées que le simple schéma Root/Toto qu'on rencontre sous Unix.
    </pas taper>
# Ils insistent

Posté par dguihal le 24 novembre 2000 à 19:41. Évalué à 1.

On se demande pourquoi Ms insiste pour autoriser des scripts dans leur applis alors que ceux ci sont utilisés par trois personnes dans le monde (tiens y en a un quatrieme qui leve le doit), le restant des utilisateurs s'en servant pour faire des virus?
- [^] # Re: Ils insistent
  
  Posté par T Sang Neuf le 24 novembre 2000 à 23:24. Évalué à 1.
  
  Je trouve ca bizarre, aussi.
  
  VBS est apparu assez recemment est a ete integre a win98. Auparavant, Microsoft avait constamment reculé sur les possibilité de programmation qu'il accordait à ses clients. Le MS-DOS avait un Basic tres visible que beaucoup d'utilisateurs pratiquaient. Progressivement, avec win3.x, il est tombé en désuétude. avec win95, c'est très clair : on ne dispose plus d'aucun moyen de programmer. Les programmes, ce sont les autres qui les fournissent. Ils les developpent avec des outils pros et payant. Concrètement, l'utilisateur ne perd rien d'autre que sa faculté à programmer, car sa bibliothèque de logiciels est importante. C'est l'époque phare du shareware.
  
  Pourquoi, aujourd'hui, Microsoft décide t il de revenir à un langage de script ?
  Mon hypothese, c'est que les applications en ont besoin (Need) pas les utilisateurs. Elles ont besoin de cette glue qu'est vbs+ole pour communiquer entre elles et pour accéder au système.
# MS scoring : +9

Posté par T Sang Neuf le 24 novembre 2000 à 22:31. Évalué à 1.

C'est époustouflant le nombre d'occurence du terme NEED dans les docs Microsoft. Faisons-en un benchmark.

lynx -dump http://www.microsoft.com/technet/security/bulletin/fq00-090.asp(...) | grep need | wc -l
# buffer overrun MS

Posté par Anonyme le 25 novembre 2000 à 14:35. Évalué à 0.

Avec tous les outils qu'ils ont chez M$, ils pourraient qd meme vérifier automatiquement que leurs buffers ne débordent pas !

C'est vraiment trop nul, et qd on pense que les systemes du porte-avions CdG sont à base de NT, on se dit que la piste d'envol trop courte a du être conçue avec les outils M$ ...

PhC

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.