Journal Grosse faille exploitable à distance dans IE

Posté par (page perso) .
Tags : aucun
8
17
déc.
2008
Tous les détails sont là:

http://secunia.com/advisories/33089/

Apparament toutes les versions d'IE même les plus à jour sont vulnérables, et des exploits existent et sont déjà en activité.

L'occasion de convaincre encore quelques utilisateurs d'évoluer vers firefox ou d'autres navigateurs plus sécurisés et respectueux des standards?
  • # et?

    Posté par . Évalué à -9.

    IE etant pas vraiment dans la thematique du site on s'en tape le coquillard. Certes je trouve rigolo ce genre d'annonce mais bon franchement a part ca c'est franchement pas mon probleme si il y a encore des utilisateurs de IE alors qu'il existe des logiciels nettement mieux que ce soit au niveau du respect des normes et/ou de la securite.
    • [^] # Re: et?

      Posté par . Évalué à 10.

      Oui mais avec une ligne éditrice trop stricte on ne pourrait pas rire jaune avec voyages-sncf.com.
    • [^] # Re: et?

      Posté par . Évalué à 8.

      ne boudons pas notre plaisir, c'est toujours agréable de savoir lorsqu'un tel logiciel a des failles, mais c'est vrai que je ne pense pas que cela soit le meilleur argument en faveur des navigateurs qui respectent les standards et / ou libres, une telle faille de sécurité aurait pu arriver dans un autre navigateur sous unix.

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: et?

        Posté par (page perso) . Évalué à -3.

        une telle faille de sécurité aurait pu arriver dans un autre navigateur sous unix.
        Impossible.


        :-)
    • [^] # Re: et?

      Posté par . Évalué à 10.

      Je trouve au contraire que ce genre d'info fait un agréable écho au billet de pasBillpasGates ( https://linuxfr.org//~MSUSA/27625.html )
      Voyons voir combien de temps la faille va restée exploitable...
    • [^] # Re: et?

      Posté par (page perso) . Évalué à 10.

      Pourtant en voyant les sujets de tes journaux, ça ne parle quasiment que de Microsoft.
    • [^] # Ca c'est de la boite !

      Posté par . Évalué à 2.

      Symantec et autres c'est pas bien parce qu'ils ont eu des failles notés > 7.0 sur
      http://web.nvd.nist.gov/ cette année.
      Et si on tape le nom de leur partenaire "kaspersky" ? Etonnant non ?
  • # Mais non IE, c'est cikioure !

    Posté par (page perso) . Évalué à 10.

    Tous les détails sont là:

    http://secunia.com/advisories/33089/



    Tu as envoyé le lien aux personnes qui gèrent les élections prud'hommales ?


    </mauvaise foi>
  • # Mais Messire qu'est-ce donc ?

    Posté par . Évalué à 2.

    "Des exploits [...] sont déjà en activité"
    C'est quoi, une nouvelle forme de Worm ?
  • # et hier soir...

    Posté par (page perso) . Évalué à -2.

    j'ai mangé du magret de canard et j'ai un peu codé une animation en fortran77, c'est te dire si je me sens concerné par IE... si tout le monde poste ici à chaque faille de MS, on est pas sorti de l'auberge.

    je reprendrais bien un peu de romanesco avec mon magret.
  • # Et pendant ce temps...

    Posté par (page perso) . Évalué à 10.

    LMI informe les diçaïdeurs stressés que Firefox arrive en tête des applications les moins sûres :

    http://www.lemondeinformatique.fr/actualites/lire-firefox-et(...)

    (avec tout de même flash en deuxième position !)
    • [^] # Re: Et pendant ce temps...

      Posté par . Évalué à 9.

      Il est exceptionnel cet article.
      En résumé leurs arguments: Ces logiciels sont populaires et installées par les utilisateurs sans supervision du SI, donc mal mis à jours, donc dangereux.
      • [^] # Re: Et pendant ce temps...

        Posté par (page perso) . Évalué à 2.

        Ce qu'ils disent c'est que le système de mise à jour n'est pas centralisé, et donc que l'utilisateur peut refuser les mises à jours, ce qui compromettrait le parc. Et d'après eux l'administrateur ne peut pas déployer les nouvelles versions avec un outils standard type Microsoft SMS (même si ici j'ai vu quelqu'un dire qu'il l'avait fait avec OCS Inventory).
      • [^] # Re: Et pendant ce temps...

        Posté par (page perso) . Évalué à 4.

        ce qui voudrai dire que le SI laisse les droits d'installation de logiciels aux utilisateurs finaux...

        (ok ok y a des applis portables, mais je doutes que ça soit ce qui est le plus utilisé)
    • [^] # Re: Et pendant ce temps...

      Posté par . Évalué à 10.

      En sixième place on trouve Symantec Norton, ce qui signifie que mettre un outil de protection est dangereux pour l'ordinateur. Il y a un truc que je ne pige pas dans leur classement.

      Étonnant aussi, le site Bit9 comporte de nombreuses animations en Flash, donc pour profiter leur offre il faut installer un logiciel qu'ils considère comme une application non-sûre.
      • [^] # Re: Et pendant ce temps...

        Posté par . Évalué à 7.

        et "seulement" en 12ème place "Microsoft Windows Live Messenger". Pourtant la plupart des PC que je trouve complètement vérolés, ce n'est pas vraiment à cause de flash ou de vmware mais bien de l'utilisation de msn...

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: Et pendant ce temps...

          Posté par . Évalué à 3.

          Même vu en live chez un pote un virus se propager par msn. Tous ses contacts ainsi que lui même ont été infecté...
      • [^] # Re: Et pendant ce temps...

        Posté par . Évalué à 2.

        En sixième place on trouve Symantec Norton, ce qui signifie que mettre un outil de protection est dangereux pour l'ordinateur. Il y a un truc que je ne pige pas dans leur classement.

        Ca veut dire que les employés achetent eux même leur antivirus c'est bien connu.
        Ca veut aussi dire qu'ils s'entendent bien avec Kaspersky, leur partenaire.
    • [^] # Re: Et pendant ce temps...

      Posté par . Évalué à 5.

      Finalement, cet article est un très bon argument pour passer à Linux. Car sous Linux, toutes les mises à jours sont centralisées et contrôlables par l'administrateur.
      • [^] # Re: Et pendant ce temps...

        Posté par (page perso) . Évalué à 3.

        oui mais non...
        On peut très bien installer (et plus facilement que sous windows) un firefox d'une version donnée dans son home (sans droits particuliers)

        Et adieu les mises à jour centralisées et contrôlées...
        • [^] # Re: Et pendant ce temps...

          Posté par (page perso) . Évalué à 8.

          ... c'est pour ça que les admins paranos montent /home avec le flag noexec!
          • [^] # Re: Et pendant ce temps...

            Posté par . Évalué à 4.

            Sauf que non, parceque les administrateurs paranos savent que le flag noexec est très facilement contournable et donc ils mettent SELinux...
            • [^] # Re: Et pendant ce temps...

              Posté par (page perso) . Évalué à 9.

              Ah, comment ?
              Toutes les techniques que j'ai trouvées quand je cherchais des infos là-dessus (appeller ld.so (ou approchant) avec en argument l'exécutable, etc.) sont inopérantes depuis longtemps.
  • # Microsoft reconnait que son modèle est pourri ?

    Posté par (page perso) . Évalué à 10.

    Tiré du site Microsoft :

    An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less affected than users who operate with administrative user rights.


    Si ça c'est pas reconnaître qu'avoir un utilisateur avec les droits administrateur par défaut est une immense connerie...
  • # Rapide?

    Posté par . Évalué à 1.

    C'est bon, Micro$oft vient d'annoncer la mise à disposition très prochaine (aujourd'hui) d'un correctif: http://www.vnunet.fr/news/microsoft_sort_un_correctif_d_urge(...)
    • [^] # Re: Rapide?

      Posté par . Évalué à 2.

      hmm, ils ont été bien rapide je trouve. J'espère qu'ils ont eu le temps de faire des tests approfondis du patch, histoire que M. Michu n'ai pas de problème lorsqu'il devra voter aux prochaines élections prudhommales.

      Alors, "Vitesse vs. Qualite, vous choisissez quoi ?"
      cf. http://linuxfr.org/~MSUSA/27625.html

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: Rapide?

        Posté par . Évalué à 3.

        Tres tres rapide meme, le patch n'a evidemment pas pu subir la meme batterie de tests que d'habitude, mais des fois la vitesse devient plus importante. Par contre on a l'avantage d'avoir des equipes des 2 cotes de la planete, bon nombre de gens bossaient dessus pendant qu'on dormait et vice-versa.

        Reste plus qu'a esperer que le patch ne casse rien.
        • [^] # Re: Rapide?

          Posté par . Évalué à 1.

          es equipes des 2 cotes de la planete

          Je ne savais qu'une sphère avait des côtés :-D
        • [^] # Re: Rapide?

          Posté par (page perso) . Évalué à 4.

          Tres tres rapide meme

          Une semaine c'est très très rapide?
          Ouch, nous n'avons pas la même notion de rapide.
          J'aurai plutôt dit que c'est lent pour un patch critique, et qu'il faudrait revoir soit le code initial qui n'aide pas à débugger facilement soit l'organisation qui est trop peu réactive...

          Question de point de vue. Les "pirates" eux s'en donnent à cœur joie en tous cas, et avec plus de rapidité.
          • [^] # Re: Rapide?

            Posté par . Évalué à 1.

            Au contraire c'est rapide, comprendre le probleme, debugger, et surtout tester un patch qui va etre deploye sur des centaines de millions de machines en 7 jours, crois-moi c'est pas une sinecure.

            L'impact que peut avoir un de nos patchs si il met le bordel est enorme(va mettre le bordel sur ne serait ce que 10% des machines, ca fait >50 millions de gens qui hurlent), tu comprendras qu'on ne peut pas laisser grand chose au hasard et sortir un patch en un jour n'est pas qqe chose de raisonnable.

            Je te laisse imaginer la masse a tester :

            IE5, IE6, IE7 sur x OS differents, sur x revisions de service pack, sur 3 architectures

            Alors oui, 7 jours pour cela c'est rapide.
            On pourrait faire comme nos amis de Fedora: jeter un oeil sur le code, se dire "ok c'est bon" et ne quasiment rien faire niveau tests, mais on a tous vu le resultat...
            • [^] # Re: Rapide?

              Posté par . Évalué à 1.

              s/debugger/corriger
              • [^] # Re: Rapide?

                Posté par . Évalué à 1.

                >IE5, IE6, IE7 sur x OS differents, sur x revisions de service pack, sur 3 architectures

                Je suis désolé, mais tester sur plein d'architecture différentes se fait très bien en parallèle, si on s'organise bien, qu'on y met les moyens et de la volonté... Donc je ne vois pas en quoi il faudrait beaucoup plus de temps ?
                • [^] # Re: Rapide?

                  Posté par . Évalué à 1.

                  Tout ce qui est automatise oui ca l'est, les tests qui ne le sont pas (pour differentes raisons:tres dur a automatiser, pas encore automatise, ...) eux, ils sont parralelisables en fonction du nombre de testeurs a disposition.

                  Et non, on ne peut pas prendre le testeur Windows moyen et le mettre sur un patch IE pendant 3 jours, parce qu'il ne sait pas comment faire les tests, interpreter les resultats, ...

                  Une passe de tests complete pour une plateforme c'est plusieurs semaines(2-3 en moyenne chez nous, j'imagines que c'est similaire chez IE), les tests d'integrations sont une addition a cela (tester qu'IE avec tous les autres patchs ne foutent pas le bordel avec 4242 apps differentes) quand il faut faire ca avec tous les IE precedents, ca alourdit serieusement.
              • [^] # Re: Rapide?

                Posté par . Évalué à 2.

                Oui, et plus grosse est la bureaucratie, moins vite les choses se font...
                • [^] # Re: Rapide?

                  Posté par . Évalué à 0.

                  Oui, le truc etant qu'il n'y a pas de bureaucratie dans ce systeme(il y en a chez MS, mais pas la), c'est totalement gere par des ingenieurs, pas par des managers. Ils n'ont pas besoin d'attendre un feu vert de qq'un, besoin de s'arreter tous les 2 jours, ...
                  • [^] # Re: Rapide?

                    Posté par . Évalué à 3.

                    Et depuis quand des ingénieurs ne peuvent pas former une bureaucratie ? Depuis quand un ingénieur n'est pas sous les ordres d'un décideur ? Et depuis quand un ingénieur ne peut pas être aussi manager ?

                    Pour rappel : http://blog.seattlepi.nwsource.com/microsoft/archives/141821(...)

                    Ca c'est ce qui se produit quand une bureaucratie atteint la taille critique où l'essentiel de son activité consiste à tourner en rond autour des problèmes plutôt que de tenter de les résoudre.

                    Oh, et ne prends pas la peine de répondre en citant ligne par ligne la suite de mails dont celui que j'ai cité fait partie, pour me prouver que c'est la faute de quelques individus et pas du système auquel ils participent.
                    • [^] # Re: Rapide?

                      Posté par . Évalué à 0.

                      Et depuis quand des ingénieurs ne peuvent pas former une bureaucratie ? Depuis quand un ingénieur n'est pas sous les ordres d'un décideur ? Et depuis quand un ingénieur ne peut pas être aussi manager ?

                      J'ai dit ca ? Non, j'ai meme dit qu'il y avait de la bureaucratie chez MS, simplement pas dans ce processus la.

                      Ca c'est ce qui se produit quand une bureaucratie atteint la taille critique où l'essentiel de son activité consiste à tourner en rond autour des problèmes plutôt que de tenter de les résoudre.

                      Justement pas du tout, a se demander si tu as meme lu ces e-mails, il se plaint de problemes techniques(le truc n'est pas utilisable proprement, des choix idiots ont ete fait, ...), cela n'a rien a voir avec de la bureaucratie et tout avec un manque de connection a la realite de l'utilisateur. Les gens ne se tournent pas les pouces, ils font les mauvais choix car ils ne comprennent pas leurs utilisateurs. Ce qui ne veut pas dire qu'il n'y a pas de bureaucratie chez MS, il y en a, mais cet e-mail n'en est pas un exemple.

                      Oh, et ne prends pas la peine de répondre en citant ligne par ligne la suite de mails dont celui que j'ai cité fait partie, pour me prouver que c'est la faute de quelques individus et pas du système auquel ils participent.

                      Ah l'habitude de juger avant d'ecouter... C'est drole vu qu'avant meme ton post j'ai moi meme dit qu'il y en avait...
                      • [^] # Re: Rapide?

                        Posté par . Évalué à 3.

                        C'est la suite de mails qui va avec qui révèle que la cause du problème technique et de sa persistance est l'encroûtement de la bureaucratie. Si tu l'as lu, tu as pu constater que tout le monde se refile la patate chaude sans que personne ne prenne de décision.

                        Et je n'ai pas dit qu'ils se tournaient les pouces, loin de là, une bonne bureaucratie occupe à temps plein beaucoup de gens qui pédalent dans une machine qui ne produit rien d'intéressant. Par exemple : faire des mauvais choix parce qu'ils [ne comprennent / ne s'intéressent pas à] l'utilisateur et ses besoins, faire réaliser ces mauvais choix et se rejeter le blâme quand il vient.
                        • [^] # Re: Rapide?

                          Posté par . Évalué à 1.

                          On ne voit pas la meme chose.

                          1ere reponse (pas Will Poole mais la suivante) : Il reconnait le probleme, dit qu'il faut le corriger et que ca devienne qqe chose a verifier avant chaque release.

                          2eme reponse : Un gars qui dit qu'il se charge des problemes niveau web

                          3eme reponse : Le gars dit qu'il n'est pas sur ou sont les limites entre web / autres issues

                          4eme reponse : Un gars disant qu'il bosse avec microsoft.com pour faciliter la recherche d'updates

                          6eme reponse (la 5eme est vide) : gars dit qu'il faut coordonner cela globalement vu que cela touche plusieurs equipes

                          7eme reponse : gars dit qu'il faut enlever marketing de la gestion des fichiers sur le web

                          8eme reponse : autre gars disant que ce n'est pas uniquement la faute de marketing, et qu'il y a plusieurs trucs a corriger qu'il liste

                          9eme reponse : gars decide de qui va gerer globalement le truc

                          Tout cela sur 2 jours, pour plusieurs problemes qui affectent des equipes differentes.

                          Tu m'expliques ou est la bureaucratie, dans le monde du libre vous utilisez quel truc magique pour coordonner des changements qui affectent plusieurs gros produits ?

                          Ah oui, vous faites de meme : vous discutez d'abord pour clarifier quel est le probleme, ou il se situe, comment le corriger, et qui va se charger de coordonner la chose... Et vous ne faites pas ca en moins de 2 jours non plus.
            • [^] # Re: Rapide?

              Posté par . Évalué à 2.

              De toute manière, c'est pas comme si les gens mettaient à jour leur machine.

              Un journal est passé il y a pas longtemps je crois qui donnait un lien vers une étude qui disait que très peu de gens avaient un windows à jour.
              • [^] # Re: Rapide?

                Posté par (page perso) . Évalué à 3.

                Un journal est passé il y a pas longtemps je crois qui donnait un lien vers une étude qui disait que très peu de gens avaient un windows à jour.

                Correction : l'ensemble des applis qui n'étaient pas à jour. L'ensemble des applis = Windows + ce que l'utilisateur installe (Windows n'est pas une distrib ;-), c'est juste l'OS + les applis de Microsoft)

                Quand à Windows seul (+applis de Microsoft), c'est une autre histoire... Et par défaut, les mise à jour sont automatiques (je viens d'ailleurs de la recevoir cette MAJ critique vers 12h aujourd'hui... Enfin!)
                • [^] # Re: Rapide?

                  Posté par . Évalué à 5.

                  Quand à Windows seul (+applis de Microsoft), c'est une autre histoire... Et par défaut, les mise à jour sont automatiques (je viens d'ailleurs de la recevoir cette MAJ critique vers 12h aujourd'hui... Enfin!)

                  Enfin .... Personnellement les mises à jour automatique, je les désactive systématiqueent : j'ai horreur d'avoir un truc qui tombe en panne parce qu'une mise à jour automatique a décidé de s'exécuter au moment ou j'ai le plus besoin de mon ordi. A ce sujet, un truc qui m'agace, c'est cette manie qu'à Windows Update de les réactiver ( tout au moins réactiver le service qui passe son temps à me dire que mon système n'est pas à jour) lorsqu'on fait une mise à jour en manuel.
                  • [^] # Re: Rapide?

                    Posté par (page perso) . Évalué à 4.

                    Enfin .... Personnellement les mises à jour automatique, je les désactive systématiqueent : j'ai horreur d'avoir un truc qui tombe en panne parce qu'une mise à jour automatique a décidé de s'exécuter au moment ou j'ai le plus besoin de mon ordi. A ce sujet, un truc qui m'agace, c'est cette manie qu'à Windows Update de les réactiver ( tout au moins réactiver le service qui passe son temps à me dire que mon système n'est pas à jour) lorsqu'on fait une mise à jour en manuel.

                    Je pense qu'il parlait du téléchargement automatique, pas de l'installation automatique.

                    Par contre si y'a vraiment un truc qui me hérisse le poil, c'est quand Windows fait une mise à jour qui nécéssite de redémarrer le système, il insiste encore et encore et encore (toutes les 5-10 minutes environ) pour demander de redémarrer. Et c'est pas une petite bulle en bas, non non, c'est une fenêtre en plein milieu de l'écran et qui en plus prend le focus (sympa en plein jeu ou lors de la lecture d'une vidéo). Si quelqu'un a un moyen de l'envoyer se faire foutre une bonne fois pour toutes, je suis preneur.
                  • [^] # Re: Rapide?

                    Posté par . Évalué à 1.

                    Moi non plus je n'ai pas les mises a jour installees automatiquement, par contre elles sont telechargees automatiquement et je suis informe, ensuite c'est a moi de decider quand les installer, mais pour la plupart des gens, l'installation automatique est la methode la plus simple.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.