Microsoft et la correction des bugs.

Posté par Anonyme le 19 avril 2002 à 11:04. Modéré par Benoît Sibaud.

Étiquettes :

avr.

2002

Microsoft est connu pour ses engagements contre les méchants qui postent des failles de sécurité avant que le correctif ne soit disponible et encourage les découvreurs d'une faille a prévenir MS avant toutes choses. Ce qui est plus drole c'est que cela permet à MS de retarder ou de refuser de corriger une faille de sécurité.

Le dernier gag en date concerne le bouton « précédent » d'Internet Explorer. Un bogue permet de s'affranchir des "préférences sécurité" en vigueur. Il a été découvert et signalé en novembre 2001 à MS. En février 2002, MS a daigné répondre au découvreur que « pour exploiter la faille, il fallait que l'auteur malveillant "oblige" l'internaute à faire un retour en arrière, ce qui ne constituerait pas un scénario à risque pour les utilisateurs qui se servent correctement de leur navigateur ». Bref en langage clair « le correctif, tu peux l'attendre longtemps ».

On voit bien comment certaines boites prétendent faire de la sécurité. En cas de découverte, ne signalez rien à l'entreprise, postez directement sur Bugtraq vous avez plus de chance que cela force l'editeur à sortir un patch.

Note du modérateur : le dernier paragraphe ne reflète que l'avis de son auteur. La procédure habituelle est d'informer l'éditeur et s'il n'a toujours fait rien après un certain délai, de rendre l'information publique.

Aller plus loin

La description de la faille (3 clics)
Le test (2 clics)

# A mort le bouton

Posté par Blackknight (site web personnel, Mastodon) le 19 avril 2002 à 11:16. Évalué à 10.

Je propose directement (avec l'aval de mes collègues) à MS de supprimer tous les boutons précédents d'IE. En effet, un bon utilisateur sait ce qu'il fait et n'a donc pas besoin de ce genre de bouton. Au pire, il doit tout recommencer.
- [^] # pas besoin bouton
  
  Posté par Da Scritch (site web personnel, Mastodon) le 19 avril 2002 à 11:47. Évalué à 10.
  
  javascript:back.history(1)
  ou encore «pour recevoir GRATUITEMENT Office XP, appuyer sur la touche "Backspace"»
  - [^] # Re: pas besoin bouton
    
    Posté par \o/ le 19 avril 2002 à 12:15. Évalué à 10.
    
    Je viens d'essayer d'appuyer sur "backsapce" et je n'ai toujours pas reçu Office. C'est un bug Mozilla?
  - [^] # Pas un simple back (tout de meme)
    
    Posté par Chadom (site web personnel) le 19 avril 2002 à 15:23. Évalué à 10.
    
    Si tu lis les explications, il ne suffit tout de meme pas de faire un back (et un "javascript:back.history(1)" ne marchera surement pas, vérifie ta syntaxe).
    Il faut faire un back suite à une erreur http 404 qui, sur 2000 par exemple, te renvoie sur res://C:\WINNT\System32\shdoclc.dll/dnserror.htm#
    qui a les "bons" droits sur ton ordi... qui seront conservés apres un back. Le trou est là.
    - [^] # Re: Pas un simple back (tout de meme)
      
      Posté par Dugland Bob le 19 avril 2002 à 17:07. Évalué à 10.
      
      une petite mise au point :
      lors d'un "back" la page chargée l'est avec les options de sécurité de la page initiale.
      
      En particulier, un 404 revoie un fichier local (tous les droits) tu fait back (retour sur le net) et t'a gagné le droit de surfer avec les protections désactivées.
      
      J'espère être plus clair que le post précédant
# politique de bugtraq

Posté par marc jeweilige bismark le 19 avril 2002 à 12:12. Évalué à 10.

J'ai lu en quelquepart que les modéros de bugtraq indiquaient qu'il fallait d'abord communiquer le bug à l'auteur en lui donnant un délai raisonnable pour corriger la faille. Ensuite, le délai dépassé on pouvait publier sur bugtraq.

Confirmation ?
- [^] # Re: politique de bugtraq
  
  Posté par Aza le 19 avril 2002 à 12:18. Évalué à 10.
  
  Ca peut fonctionner dans le cas d'un logiciel proprietaire mais dans le cas d'un logiciel libre, ca n'est pas la meilleure solution vu que plus il y'a de personnes au courant, plus il y'a de chances que la faille soit corrigé rapidement.
- [^] # Re: politique de bugtraq
  
  Posté par chl (site web personnel) le 19 avril 2002 à 12:48. Évalué à 6.
  
  un délai raisonnable pour corriger la faille
  
  C'est quoi un delai raisonnable ?
  Enfin ca doit aussi dependre du bug a mon avis ... mais ca serait quoi la fourchette de delais ?
  ptit bug => 1 mois et gros bug => 6 mois ?
  - [^] # Re: politique de bugtraq
    
    Posté par Nicolas Boulay (site web personnel) le 19 avril 2002 à 13:33. Évalué à 10.
    
    bug qui permet d'être root -> 3 jours pas 6 mois !
    
    Enfin cela dépend de ce que signifie gros bug !
    
    nicO
    "La première sécurité est la liberté"

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.