Aller plus loin
- Vunet.fr (2 clics)
- Solutions.f (2 clics)
Le plus gros trou de sécurité de IE
23
jan.
2002
Ca y est, Microsoft vous permet de lancer des programmes sur les ordinateurs clients sans leur consentement! IE 5.5 et 6 sont concernés et ça risque de faire trés mal.
# Logiciel Libre...
Posté par Pooly (site web personnel) . Évalué à -3.
Il me semble que IE5.5 est largement présent sur la plupart des ordinateurs avec Win$ ... (troll ?)
[^] # Re: Logiciel Libre...
Posté par - neuro (site web personnel) . Évalué à -1.
[^] # LE PATCH SE TROUVE ICI
Posté par Annah C. Hue (site web personnel) . Évalué à 10.
Le patch se trouve ici -> http://www.debian.org/(...)
</philo>
[^] # Re: LE PATCH SE TROUVE ICI
Posté par Jean-Yves B. . Évalué à 2.
(-1, pas drôle)
[^] # Logiciel Libre != sécurité
Posté par pappy (site web personnel) . Évalué à 10.
Sérieusement, cmbien de pesonnes ici ont réellement audité des sources ?
En fait, la plupart des personnes se disent que puisque c'est en open source, il y a bien qq'un pour regarder le code, et que ce n'est pas donc la peine de s'embêter à le faire. Et je ne parle pas du niveau de compétences nécessaire.
[^] # Re: Logiciel Libre != sécurité
Posté par Anonyme . Évalué à 10.
[^] # sudo, ssh et crc32 ...
Posté par pappy (site web personnel) . Évalué à 10.
Regarde les multiples bogues de sudo par exemple. Ou encore le problème du crc32 avec les serveurs ssh. Le bogue était connu et référencé depuis plusieurs mois avant d'être corrigé.
[^] # Re:sudo, ssh et crc32 ...
Posté par nicolasr . Évalué à 7.
Ce qui est très différent du comportement type de M$, à savoir corriger le bug AVANT de le signaler...
Encore que, je le reconnais, la tendance actuelle des grandes distributions est à ce genre de manoeuvre aussi...
[^] # Et chez les éditeurs ?
Posté par Antoniop . Évalué à 10.
encore que ça m'est moi-même encore arrivé la semaine dernière avec une install qui merdait,
il y a toujours plus de gens à regarder le source
dans un LL que chez les éditeurs, où ils sont mettons, allez, 4 à regarder le même code,
chacun ayant son bout de code à développer,
puisque personne d'autre n'y a accès.
Pour preuve, l'anecdote quand Borland a publié le
code de son SGBD interbase, qq semaines après
on a signalé la faille suivante : le user/password
politically/correct donnait les droits superuser.
Faille bête, mais facile à voir quand on met le nez dans le code,
ce qui devait pas être arrivé aux développeurs
depuis un bout de temps.
[^] # Re: Logiciel Libre != sécurité
Posté par Tame . Évalué à 2.
> audité des sources ?
suffisamment pour que l'ont ai pas eu une faille aussi grosse et facile a mettre en place que celle la depuis longtemps dans le monde de l'open source... (Ou alors mon mozilla ma caché des choses...) ;O)))
[^] # exemple même de ce que je dis !
Posté par pappy (site web personnel) . Évalué à 3.
Tu te reposes sur les autres en espérant que qq'un aura regadé pour toi.
Et donc, si tu utilises mozilla, tu as un pb (voir lien bugtraq que je donne par ailleurs).
[^] # Re: exemple même de ce que je dis !
Posté par Nicolas Roard (site web personnel) . Évalué à 5.
Simplement, il y a beaucoup plus de chance qu'il y ait une correction rapide sur un LL qu'un logiciel commercial. Maintenant, on peut toujours montrer des logiciels commerciaux extrèmement bien suivis et des LL absolument plus supportés, ou du moins peu suivis. Mais dans un cadre général, je persiste à croire qu'un LL sera plus rapidement corrigé qu'un logiciel commercial. Et bien sûr, la modif ne consistera pas en une "upgrade pour 49.99$" ...
Mais il est évident que passer un logiciel en LL n'en fait pas pour autant un logiciel parfait.
Concernant le bug de mozilla, je parie qu'il sera très rapidement corrigé, et en moins d'un mois...
[^] # Re: exemple même de ce que je dis !
Posté par pasBill pasGates . Évalué à -2.
Donc si MS est effectivement comme bcp de "fans" de Linux/du libre le disent, lent pour corriger les defauts, ca veut dire que les autres sont bien plus rapides que MS, j'en deduis que Debian, qui est pourtant regarde comme etant tres serieux et tout, est tres lent vu qu'il est plus lent que MS qui est deja lent.
Ou alors c'est peut-etre que MS est tres loin d'etre le plus lent et que Debian est juste un petit peu lent.
[^] # Re: exemple même de ce que je dis !
Posté par Guillaume ARTUS . Évalué à 0.
Euh... tu les tiens d'ou tes stats ? et puis de souvenir c'est pas l'equipe des mainteneurs de paquets qui corrige les trous de securites. A la limite ils corrigent les problemes lier a l'installation (correction plutot rapide en general) et font remonter les bugs logiciel aux developpeurs.
J'accorde quand meme le doute sur le fait que le mainteneur d'un paquet peut aussi etre le developpeur...
[^] # Re: exemple même de ce que je dis !
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: exemple même de ce que je dis !
Posté par Guillaume ARTUS . Évalué à 1.
Et donc reformulation: en moyenne 35jours mais 50% des pb corriges en moins de 10 jours (bon ok ca laisse penser qu'il doit y avoir des bugs qui mettent quelques mois a etre corriges...).
De plus les 35 jours sont le temps entre l'annonce (bugtrak et autre) du probleme et la solutions de celui-ci (Debian Security Announce).
Donc pendant 35jours en moyenne, l'admin lamda SAIT que tel prog a une merde (a lui de prendre la
responsabilite de continuer d'utiliser le prog ou pas) et 35 jours plus tard correctif debian (ou plutot l'equipe de developpement du prog le patch,
et il peut etre debianiser et annonce en DSA)
Apres on pourrait troller que corriger un bug comme celui qui nous interesse ou un buffer overflow, il faut sans doute pas le meme temps...
NB: le troller est la pour pas continuer le trol ;-P
[^] # Re: jamais de failles dans les logiciels "open-source"
Posté par Stephane JUTIN . Évalué à 1.
Ah bon, alors sendmail, wu-ftpd, et consorts
pas besoin de les mettre à jour régulièrement, de toutes façon ils sont "open-source".
Et donc le "apt-get" ne sert plus grand chose, de toutes façons sous Linux on n'a pas besoin de mettre à jour ses serveurs ... autant tout installer à partir du CD.
Plus sérieusement, l'apport de l'open-source c'est vraiment de risquer moins, c'est plutôt d'être plus conscient que l'on risque quelque chose (et de prendre les précautions en conséquence, désactiver les services que l'on utilise pas par example), et aussi lorsque le bug est facile à corriger (70 % des failles peuvent se corriger en moins d'une ligne de code) de pouvoir faire la modif soit-même sans passer par les longues et fastidieuse procedures d'assurance qualité des grosses boites.
Etre de mauvaise foi contre MS, c'est toujours ridicule surtout quand on a raison sur le fond.
[^] # Re: Logiciel Libre != sécurité mais LL = confiance.
Posté par Anonyme . Évalué à 6.
«
a principale caractéristique est sa simplicité d'utilisation. Il suffit de placer le caractère "%00" (sans les guillemets) à l'intérieur du nom d'un fichier stocké sur un serveur Web pour que le butineur commence le téléchargement d'un fichier sans demander l'avis de l'internaute. Online Solutions, la société spécialisée dans la sécurité à qui l'on doit la découverte de la faille, explique et démontre sur son site qu'un lien vers un fichier portant par exemple le nom "readme.txt%00prog.exe" peut donner l'impression à l'internaute de télécharger un banal fichier texte alors qu'il lancera en fait le programme "prog.exe", potentiellement dangereux. Et ce sans qu'aucune boîte de dialogue n'apparaisse »
En effet, ceci n'est sans doute pas apparu par hasard. Le problème des failles des logiciels propriétaire, c'est qu'on n'est pas sur qu'il s'agisse de failles. Ca pourrait très bien être une fonction prévue, qui n'aurait pas du être connue à l'extérieur.
Et personne dans un logiciel libre ne pourrait justifier la présence d'une fonction permettant de télécharger un binaire sans que l'utilisateur en soit informé un seul instant.
Aussi, MSIE n'est pas le petit logiciel rigolo-molo-pom-chip. C'est quasiment le noyau des SE Microsoft. Les logiciels aussi centraux sous les SE libres sont me semble t-il « audité » et il ne me semble pas que des failles pareilles soient apparue : des failles qui pourraient très bien être des fonctionnalités !
[^] # Re: Logiciel Libre != sécurité mais LL = confiance.
Posté par pasBill pasGates . Évalué à 2.
J'ecris un soft qui recoit et fait des connectiosn reseau que je mets en GPL, je fais bien attention a poser dedans un buffer overflow bien cache. Resultat, je peux faire le con avec n'importe quelle machine qui a ce soft.
Trouver un buffer overflow bien cache en faisant une code review c'est hyper dur, tu prends ca, le nombre de gens qui vont effectivement lire le code du soft(faible), et tu en deduis que je serais tranquille pendant un bon moment, et le jour ou il est decouvert, ben je dis "Ah mais croyez mo, c'est un bug ! C'est un buffer overflow, ca peut arriver a tout le monde !"
Preuve en est que sendmail et wu_ftpd se retrouvent encore avec des alertes pour buffer overflow alors que c'est parmis les softs les plus connus, les plus utilises, les plus anciens, donc les plus audites.
Et le plus drole: vu que je sais exactement quel est le probleme(vu que c'est moi qui l'ai mis), je peux le corriger en 1 heure, et apres je recois les acclamations de la foule qui me considere des lors comme un gars qui prend la securite au serieux.
Alors bon la confiance dans les LL, tu repasseras, que le code soit accessible ou pas, mettre des backdoors est tres simple.
[^] # Backdoors dans les LL
Posté par Antoniop . Évalué à -1.
mais mettre des backdoors sciemment dans un LL,
je vois pas. Pour assoir un monopole technique et
commercial ? la motivation est plus évidente.
Faire en sorte que son soft tourne convenablement
et que les autres softs concurrents se plantent,
c'est pas un bug, c'est une "feature" !
allez, -1
[^] # et pour preuve ... Mozilla
Posté par pappy (site web personnel) . Évalué à 2.
Vu sur bugtraq ce matin : http://www.securityfocus.com/archive/1/251788(...)
[^] # Re: et pour preuve ... Mozilla
Posté par Tame . Évalué à 10.
2- c'est pas du tout un probleme similaire.
3- je nai pas dit que open source == securite.
par contre, au moins on ne nous planque pas les
failles... Les pirates, ils les connaissent les failles, c'est aux utilisateurs que krosoft planque des trucs... Apres, il peuvent dire : nous on est achement securises et tout et tout, vnez acheter nos produits !...
[^] # Re: et pour preuve ... Mozilla
Posté par Robert Palmer (site web personnel) . Évalué à -1.
Normalement utiliser une bêta est un démarche volontaire. C'est parce qu'on aime le produit. On est donc prêt à se tenir au courant de son évolution et installer régulièrement les nouvelles versions.
Les distribs récentes ne devraient pas proposer par défaut Mozilla, ou alors devraient avertir l'utilisateur plus clairement.
Le problème de Mozilla est que derrière il y a Netscape, ou comment la logique commerciale (sortir rapidement un navigateur) s'oppose à la logique de qualité (bugs, sécu...)
Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment
[^] # Re: et pour preuve ... Mozilla
Posté par Netsabes . Évalué à 10.
Faut pas déconner, non plus.
L'énorme majorité du travail sur Mozilla est faite par des employés de Netscape, qui sont payés pour ça. Si Netscape n'était pas derrière Mozilla, ni Gecko ni la suite logicielle de Moz n'en seraient à leur niveau actuel.
[^] # Re: et pour preuve ... Mozilla
Posté par Robert Palmer (site web personnel) . Évalué à 3.
Conclusion, Netscape 6.0 est sorti, lourd et buggé jusqu'à l'os. Je suis sûr que cette version en a dégoûté plus d'un parmi ceux qui voulaient passer de Netscape 4 à Netscape 6 et qui, finalement, se sont tournés vers IE.
Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment
[^] # Re: libre = pas de délais
Posté par Stephane JUTIN . Évalué à 1.
Ah bon, parce que le kernel 2.4 tu va me dire qu'il est sorti quand il était stable et pas du tout sous la pression médiatique ...
Et la corruption du système de fichier dans une version stable du noyau (2.4.16 je crois)
[^] # Re: et pour preuve ... Mozilla
Posté par Anonyme . Évalué à 4.
L'énorme majorité du travail sur Mozilla est faite par des employés de Netscape, qui sont payés pour ça. Si Netscape n'était pas derrière Mozilla, ni Gecko ni la suite logicielle de Moz n'en seraient à leur niveau actuel. »
Si mozilla n'était pas libre, rien ne permettrait de penser que Netscape 6 s'en sortirait mieux que netscape 4.x.
Netscape n'avait plus réellement de public quand mozilla est devenu libre. Ca lui à donné un public.. .Ceux qui n'avaient pas le choix de toute façon.
On note d'ailleurs que mozilla à commencé à devenir interessant lorsque les utilisateurs de LL ont eut le choix : quand Konqueror à commencé à apparaitre, mozilla est devenu clair sur sa politique de licence et son developpement à semblé s'être acceléré.
Ce que je veux dire par là, c'est que certes, Netscape contribue à ce projet. Mais ce n'est évidemment pas de l'altruisme. C'est un échange de bons procédés.
Mozilla et gecko doivent autant au LL qu'à netscape.
[^] # Re: Logiciel Libre...
Posté par Frédéric . Évalué à 0.
La seule différence, c'est qu'avec les bugs d'IE, on ne peut esperer qu'un patch 'officiel', sans garantie de date, sans garantie de fiabilité, sans explications, et évidement sans excuses... :)
Libre != Gratuit && Libre != Fiable
(En pratique, c'est quand même moins cher et plus fiable, mais bon... :)
Fred.
[^] # Re: Logiciel Libre...
Posté par VACHOR (site web personnel) . Évalué à -4.
# BO2k?
Posté par - neuro (site web personnel) . Évalué à 0.
Plus serieusement, ca vous etonne vous? A quand un standard sous GPL?
# N'empêche
Posté par Nicolas Roard (site web personnel) . Évalué à 10.
Encore un trou énoooorme. Après ça, vous pensez qu'ils vont continuer à nous vendre leur politique de "sécurité par l'obscurité" ??
[^] # Re: N'empêche
Posté par Benoit Rousseau . Évalué à 3.
Au fait, comment ils font les gens pour trouver une faille comme celle la ?
[^] # Re: N'empêche
Posté par Anonyme . Évalué à 0.
[^] # Ca me fait penser ...
Posté par Infernal Quack (site web personnel) . Évalué à 5.
Il suffisait de taper .js%70 à la place de .jsp pour voir les sources :))
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: N'empêche
Posté par Nicolas Roard (site web personnel) . Évalué à 3.
Une url pouvant être encodée en unicode (le %), on peut toujours chercher voir si y'aurait pas un bug en testant avec un jeu d'encodage.
A priori ça remettrait à zéro la chaine courante et continuerai à lire la suite...
C'est quand meme salement tordu ! et plutôt étonnant que les devs microsoft n'aient pas fait en interne ce genre de jeux de tests...
# une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par Guillaume Lefevre . Évalué à 4.
A moins que ce soit l'inverse?
Bon il la sortent cette loi sur la qualité des logiciels?
Comme ca dans 2 mois on entend plus parler de Microsoft...
[^] # Re: une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par - neuro (site web personnel) . Évalué à 8.
[^] # Re: une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par Guillaume Lefevre . Évalué à -1.
[^] # Re: une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par Jean-Yves B. . Évalué à -3.
-1
[^] # Re: une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par Annah C. Hue (site web personnel) . Évalué à 0.
-- Cartman
[^] # Re: une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par Julien Olivier . Évalué à -2.
source: ma copine allemande :)
[^] # Re: une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par #3588 . Évalué à 3.
Disons plutot que tu utilises l'interpreteur de lisp Emacs pour exécuter différents programmes tels que rmail (ou un autre), Gnus, un shell, etc. C'est le principe d'un OS.
[^] # Re: une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par Benoit Rousseau . Évalué à 2.
Meme si IE ne faisait qu'explorer il y aurait ce probleme: Meme netscape peut 'lancer' les fichiers qu'il a telecharge (ie lancer gv pour un document ps), mais il ne le fait pas aussi betement
[^] # Re: une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par Guillaume Lefevre . Évalué à 4.
dans netscapes c'est des associations qui sont faites entres les types mimes et des programmes,
enfin ca c'est sous linux...
c'est sur que si vous faites:
application/x-linux-elf-executable "run %s" ou
application/x-bash-script "bash %s"... mais bon la vous etes con et on peut plus rien faire pour vous :-)
[^] # Re: une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par Aurélien Jarno (site web personnel) . Évalué à 2.
Ici, il suffit de mettre un faux lien vers une page (avec un petit coup de javascript pour mettre une fausse adresse dans la barre d'etat), et ton programme s'execute, sans fenetre de telechargement, et sans rien te demander.
Au fait ca marche un lien avec %00echo&20y%20|%20format%20c: a la fin ?
[^] # Re: une semaine sans Vulnerabilite de Microsoft n'est pas une semaine...
Posté par jerdent (site web personnel) . Évalué à -1.
# Hum hum
Posté par Anonyme . Évalué à 10.
La grande question est à quoi ça peut-il bien servir ? Pourquoi les développeurs ont voulu implémenter cette chose ?
J'ai l'impression que c'est le grand classique chez Microsoft : implémenter des trucs qui serviront à 0,05% des utilisateurs du produit, qui sont activés par défaut, et qui, de manière détournée, peuvent être très dangereuses...
[^] # Re: Hum hum
Posté par imr . Évalué à 6.
les grands comptes.
Les seuls qui utilisent ce genre de truc et ont intérêt que ce soit présent sont les grands comptes pour faire de l'administration de masse qui passe inaperçue.
Ils sont le 0,05% qui représente un gros chiffre d'affaire, donc ...
[^] # %00 == fin de chaîne
Posté par pappy (site web personnel) . Évalué à 6.
Qu'est-ce qui te laisse penser ça ?
Le %00 correspond au caractère de fin de chaîne et c'est un manière bien connue de faire exécuter du code à un script CGI écrit en perl par exemple.
Je ne pense vraiment pas que ça ait été voulu. Quand le browseur lit l'URL, il s'arrête lorsqu'il rencontre la fon de chaîne (le %00 donc) ... mais l'interpréteur continue, exactement comme avec perl.
[^] # Re: %00 == fin de chaîne
Posté par Laurent Martelli (site web personnel) . Évalué à 3.
Quel interpreteur ? Dans le cas de "fichier.txt%00prog.exe", il n'y a pas d'interpréteur !?
[^] # Re: %00 == fin de chaîne
Posté par Nicolas Roard (site web personnel) . Évalué à 4.
Si cet interpréteur est codé avec les pieds ben...
[^] # Re: %00 == fin de chaîne
Posté par Anonyme . Évalué à 3.
C'est faire une confiance aveugle en tout le monde que de remplacer toutes les combinaisons de %xy (00 y compris) par leur équivalent ASCII...
Et si on met %07, ça fait beep ?
[^] # Re: %00 == fin de chaîne
Posté par Anonyme . Évalué à 2.
[^] # Re: %00 == fin de chaîne
Posté par Anonyme . Évalué à 4.
Bah si, quand même, ça concerne une mauvaise interprétation de %00 ; ça n'arrive pas aux mêmes résultats, mais le problème de fond est le même...
[^] # Re:Hum hum
Posté par feth . Évalué à -2.
Par ailleurs, je trouve les gens de linuxfr de très mauvaise foi, lorsqu'ils disent que la correction de trous de sécurité est plus rapide dans le libre.
VOILÀ LA PREUVE : puisque les développeurs ont écrit exprès cette fonction, ils peuvent sortir le patch AVANT même la release du logiciel. Inconcurrençables tant qu'on n'aura pas un IPOT fonctionnel.
\begin{divagations}
En echo à la news précédente, j'accuse aussi les hackers du noyau de financer Al Quaïda.
En echo aux sondages sur la "pénétration" de l'Internet en France, qui pointent que 65% (je sais plus combien) des gens n'ont jamais surfé sur l'Internet, je me dis que MicroSoft n'est pas si dangereux que cela, finalement, à part pour les décideurs pressés.
-1 parce que c'est que des conneries
# Quelle va être la réponse de Microsoft ?
Posté par Jean-Yves B. . Évalué à 8.
Ce n'était pas la même boîte (solutions.fi) qui avait déjà été houspillée par microsoft lors de la dernière faille annoncée « alors qu'il ne fallait pas » ? Et si ... ce sont eux.
Franchement, le bug est trop con en plus : on renvoie un nom de fichier bateau avec un nom de programme derrière un null byte, et si le content-type est bien placé « Hop ! », il s'exécute tout tout seul ... c'est un classique le coup du texte derrière la fin de chaîne C, ça traîne depuis toujours ce genre de blagues ...
[^] # Re: Quelle va être la réponse de Microsoft ?
Posté par cyril bosselut (site web personnel) . Évalué à 7.
voila l'url pour le correctif pour IE6
http://download.microsoft.com/download/IE60/secpac23/6/W98NT42KMeXP(...)
et pour IE5.5
http://download.microsoft.com/download/ie55sp2/secpac23/5.5_SP2/WIN(...)
Allez zou! faut que je finisse de sécuriser mon réseau d'entreprise (dire que ça fait 2 ans que je me bat pour qu'ils n'utilisent au moins plus IE)
[^] # Re: Quelle va être la réponse de Microsoft ?
Posté par Anonyme . Évalué à 2.
Ils diront que ceux qui n'ont pas patché et qui se font avoir n'ont qu'à s'en prendre à eux même...
D'un autre côté, pourquoi installer un patch quand on ne sait pas ce qu'il corrige...
[^] # Re: Quelle va être la réponse de Microsoft ?
Posté par Anonyme . Évalué à -1.
[^] # Re: Quelle va être la réponse de Microsoft ?
Posté par Anonyme . Évalué à 1.
If the program gets run without questions and dialogs, you should patch your browser. The patch has been available since 13 December 2001 on Microsoft's site:
http://www.microsoft.com/technet/security/bulletin/MS01-058.asp(...)
[^] # Re: Quelle va être la réponse de Microsoft ?
Posté par Xavier Poinsard . Évalué à 3.
et que le dernier article du 14 janvier n'est qu'une mise en lumière des possibilités offertes par la combinaison de deux failles connues.
Il n'en reste pas moins que je ne me souviens pas que la news soit passée, mais bon, les rapports avec linux sont assez lointains...
[^] # Re: Quelle va être la réponse de Microsoft ?
Posté par Bertrand Mathieu . Évalué à 3.
J'en conclus qu'il y a extrêmement peu de personnes qui vont appliquer le patch, parce qu'il faut aller le chercher. Alors pourquoi ne pas faire un petit prog qui ouvre des fenêtres de propagande anti-IE pour bien faire peur aux utilisateurs lambda, et foutre des liens piégés dans toutes les pages Web?
(-1 parce que c'est pas dans l'esprit LL le terrorisme)
[^] # Re: Quelle va être la réponse de Microsoft ?
Posté par pasBill pasGates . Évalué à 0.
Je n'ai jamais update mon systeme par autre chose que WindowsUpdate, et il n'est pas vulnerable a l'attaque. Tout simplement parce que le fix etait dans un autre patch pour IE.
[^] # Re: Quelle va être la réponse de Microsoft ?
Posté par Bertrand Mathieu . Évalué à 1.
Je n'ai pas dis ça sans vérifier!
Mais l'un de nous deux doit être un cas particulier alors.
# Tiens tiens
Posté par Robert Palmer (site web personnel) . Évalué à 6.
Bon allez, fini de jouer, je retourne à Mozilla.
Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment
[^] # Re: Tiens tiens
Posté par Jar Jar Binks (site web personnel) . Évalué à 7.
[^] # Re: Tiens tiens
Posté par Aurélien Jarno (site web personnel) . Évalué à 1.
[^] # Re: Tiens tiens
Posté par f l . Évalué à 1.
Donc sur windowsupdate, ie 5.5 est listé dans les "Critical Updates"
C'est dommage, ie 5.01 est amha le meilleur de la serie niveau stabilité / rapidité. Sur une vielle machine (type pII 300 avec 64Mo de Ram), ie 5.5 et ie6 rament! (c'est peut etre un bon point pour mozilla d'ailleurs)
[^] # Re: Tiens tiens
Posté par Jar Jar Binks (site web personnel) . Évalué à 0.
Bah heureusement que pour les machines vraiment vieilles il y a Netscape 4 qui est encore vaguement maintenu... Remarque, y'a peut-être Opera qui doit bien tourner dessus.
# Proxy
Posté par Manu (site web personnel) . Évalué à 6.
Est-ce qu'un des lecteurs de linuxfr a accès à un gros proxy et pourrait voir si un %00 apparaît dans le cache ?
C'est un peu naïf et sans espoir mais bon...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.