Aïe... Malheureusement, nous savons tous, ici sur ce site, que MSIE est peu recommandable, mais j'ai bien peur que malgré ce genre de failles récurrentes sur ce browser, les gens n'iront pas pour autant télécharger le dernier Mozilla (ou n'importe quel autre browser que vous aimez, peu importe tant que ce n'est pas MSIE).
J'ai essayé de faire abandonner MSIE au profit de Mozilla chez certaines personnes. Il y en a qui n'utilise plus que ça et d'autres qui, systématiquement, clique sur la petite icône "e" bleue. Malheureusement, cette deuxième catégorie reste majoritaire :(. Et ne parlons même pas des boulays^W tête de mules qui ne veulent pas lâcher cette horreur de Outlook Express...
euh, j'informe juste la faille est aussi valable pour MSIE 5.00 et MSIE 5.5
à mon avis, la crédibilité de sécurité M$ sera encore plus tachée après la revelation de la faille sur la modification des mots de passe des comptes PassPort, via un copier coller d'url.
Il n'existe pas à l'heure actuelle de patch mais Microsoft a été informé du problème par le découvreur, le site "Zap The Dingbat" (merci à eux). En attendant, soyez prudents utilisez mozilla.
exact, ça suffit à me tromper, et je ne savais pas comment c'était avec IE.
Et d'ailleurs le plus gênant c'est qu'on puisse voir ce début de fausse URL, le reste on s'en fout un peu en général, genre les PHPSESSID=456776Z456vgeE6R7Feèt67FE5Z6
Pour le patch (et celui des 7 autres vulnerabilites decouvertes en novembre) il va surement falloir attendre, puisqu'il n'y aura pas de patches en decembre : http://zdnet.com.com/2100-1104_2-5118292.html(...)
Maintenant ils ne sortiront des patchs que le 2eme mardi de chaque mois (a partir de janvier).
Hum... à force de trouver des bugs, va plus y en avoir non ??? Parce que si on gèle l'évolution d'IE pendant encore un an (ou deux) jusqu'à la sortie de LongHorn... ya bien un jour où on aura trouvé tous les bugs d'IE, non ?
Snif ce jour là faudra attendre IE 7 pour rigoler à nouveau.
Je sens que je vais vite informer ceux que je connais, sinon des petits malins vont les avoir... et au passage je vais faire un peu de pub pour firebird...
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
Par contre, y'a toujours la "faille" consistant à ajouter un login qui ressemble à un site internet devant le @, mettre l'url en décimal, et noyer le tout dans une url à rallonge avec plein de signes bizarre qui marchent sur tous les navigateurs.
Pour que les linuxiens soit protéger de cette faille, faudrait indiquer, dans la barre de titre par exemple, l'adresse réelle. Qu'en pensez vous, ce ne serait pas une bonne suggestion pour mozilla/konqueror/galeon ... ?
# Re: Encore IE
Posté par GCN (site web personnel) . Évalué à 8.
J'ai essayé de faire abandonner MSIE au profit de Mozilla chez certaines personnes. Il y en a qui n'utilise plus que ça et d'autres qui, systématiquement, clique sur la petite icône "e" bleue. Malheureusement, cette deuxième catégorie reste majoritaire :(. Et ne parlons même pas des boulays^W tête de mules qui ne veulent pas lâcher cette horreur de Outlook Express...
Y'a encore du boulot en perspective...
[^] # Re: Encore IE
Posté par Nap . Évalué à 9.
[^] # Re: Encore IE
Posté par Dinofly (site web personnel) . Évalué à 6.
[^] # Re: Encore IE
Posté par Nicolas (site web personnel) . Évalué à 4.
Non malheureux, c'est le thème qui est à la source de toutes ces failles et ces bugs.
Je suis déjà dehors.
[^] # Re: Encore IE
Posté par Olivier BENDRIES (site web personnel) . Évalué à 2.
euh, j'informe juste la faille est aussi valable pour MSIE 5.00 et MSIE 5.5
à mon avis, la crédibilité de sécurité M$ sera encore plus tachée après la revelation de la faille sur la modification des mots de passe des comptes PassPort, via un copier coller d'url.
[^] # Re: Encore IE
Posté par Olivier BENDRIES (site web personnel) . Évalué à 2.
(sinon c'est encore moins compréhensible )
# Re: Encore IE
Posté par mammique . Évalué à 9.
# Re: Encore IE
Posté par tatayo . Évalué à 2.
http://www.zataz.com/zatazv7/news.php?id=4474&lpgfc=npGQkYaSmow(...)
[^] # Re: Encore IE
Posté par marcMC . Évalué à 1.
Parce que moi, avec FB0.7, le test chez zataz marche aussi !!!
[^] # Re: Encore IE
Posté par monsieurw . Évalué à 4.
On ne voit que 'http://www.premier-ministre.fr'(...) dans la barre d'adresses ? Avec un autre navigateur (non-IE), on doit voir un truc du genre
http://www.premier-ministre.fr%01@ataz.com/blahblah(...)
"Marrant" : IE 5.14 sur Mac n'a pas ce bug.
[^] # Re: Encore IE
Posté par zelyph . Évalué à 3.
alors qu'avec IE on voit
http://www.premier-ministre.gouv.fr(...)
mais qqu'un de pas du tout avertit peut aussi ce faire avoir par la ligne complète..
[^] # Re: Encore IE
Posté par marcMC . Évalué à 2.
Et d'ailleurs le plus gênant c'est qu'on puisse voir ce début de fausse URL, le reste on s'en fout un peu en général, genre les PHPSESSID=456776Z456vgeE6R7Feèt67FE5Z6
# Re: Encore IE
Posté par Anonyme . Évalué à 3.
http://www.securityfocus.com/archive/1/346948(...)
# Re: Encore IE
Posté par Anonyme . Évalué à 3.
http://zdnet.com.com/2100-1104_2-5118292.html(...)
Maintenant ils ne sortiront des patchs que le 2eme mardi de chaque mois (a partir de janvier).
# Re: Encore IE
Posté par ASpirit . Évalué à 1.
Snif ce jour là faudra attendre IE 7 pour rigoler à nouveau.
[^] # Re: Encore IE
Posté par Jérôme FIX (site web personnel) . Évalué à 2.
# Re: Encore IE
Posté par XHTML/CSS inside (site web personnel) . Évalué à 1.
Je sens que je vais vite informer ceux que je connais, sinon des petits malins vont les avoir... et au passage je vais faire un peu de pub pour firebird...
++
[^] # Re: Encore IE
Posté par XHTML/CSS inside (site web personnel) . Évalué à 1.
http://dominique.hoffmann.free.fr/faille.htm(...)
++
[^] # Re: Encore IE
Posté par Infernal Quack (site web personnel) . Évalué à 4.
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: Encore IE
Posté par Gniarf . Évalué à 1.
il faut un bidule équivalent au unescape utilisé dans la proof of concept :
http://www.zapthedingbat.com/security/ex01/vun1.htm(...)
# Re: Encore IE
Posté par Jllc . Évalué à 2.
Pour que les linuxiens soit protéger de cette faille, faudrait indiquer, dans la barre de titre par exemple, l'adresse réelle. Qu'en pensez vous, ce ne serait pas une bonne suggestion pour mozilla/konqueror/galeon ... ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.