Journal Sensibiliser les utilisateurs de IE à la faille JPEG

Posté par  .
Étiquettes :
0
27
sept.
2004
comme l'annonce 01.net
http://www.01net.com/article/251546.html(...)

Les virus à base de JPEG vont bientôt fleurir pour IE. Firefox version windows n'utilise pas GDI+ et donc n'est pas touchée par une telle faille.
Les exploits commencent déjà à fleurir.

Pourquoi ne pas utiliser l'exploit avant les script kiddies malveillants et faire un petit exploit qui afficherait un message conseillant de mettre à jour son système et ses logiciels[1], et d'utiliser le navigateur alternatif firefox, dont les failles sont pour l'instant moins exploitées.
On pourrait ensuite penser à placer ce jpeg sur la page de garde de linuxfr pour commencer, puis pourquoi pas comme avatar dans des forums de discussions fréquentés.

Cette technique emploierai les méthodes des hackers malveillants, ce qui peut-être peu acceptable éthiquement parlant.

[1] selon 01net, certains logiciels semble utiliser une version statique de GDI+, il faut donc les mettre à jour aussi.

  • # Technique contre-productive

    Posté par  . Évalué à 10.

    En effet, employer des méthodes de pirate pour prêcher en faveur de FireFox me semble contre productif et dangereux.
    Je suis un inconditionnel de FireFox et je voudrais le voir utilisé par le grand public. Mais de tes méthodes pourrait conduire à une mauvaise appréciation de la communauté du libre et entretenir la confusion hacker/pirate.

    Un peu de patience, tout laisse à penser que le temps joue en faveur de FireFox en ce moment. Continuons à présenter les atouts de FireFox en terme de sécurité et de respect des standard mais aussi en terme de fonctionnalité (extensions) puisque les fonctionnalités ont plus de chance de faire migrer le grand public que les enjeux de sécurité que le dépasse un peu.

    • [^] # Re: Technique contre-productive

      Posté par  (site web personnel) . Évalué à 3.

      J'ai entendu que Firefox n'était pas vulnérable à cette faille (car n'utilisant pas cette lib), mais quid de Mozilla ? (1.7.3 perso)

      ++

      • [^] # Re: Technique contre-productive

        Posté par  . Évalué à 7.

        mozilla et firefox sont basés sur le même moteur gecko. Donc c'est libimg qui se charge des images et non pas GDI+.

    • [^] # Re: Technique contre-productive

      Posté par  . Évalué à 0.

      oui c'est vrai, mieu vaut laisser faire les magazines de la pub pour firefox, ca a plus de valeur, sinon on se dit que c'est un piege lol.

      Sinon il faut juste dire qu'il faut essayer un autre logiciel plus sur. Sans donner de nom :)

  • # Parce que c'est mal

    Posté par  (site web personnel) . Évalué à 10.

    Pourquoi ne pas utiliser l'exploit avant les script kiddies malveillants et faire un petit exploit qui afficherait un message conseillant de mettre à jour son système et ses logiciels[1]

    Parce que s'introduire frauduleusement dans un système pour y exécuter du code est illégal, même si le but en est louable.

    source :
    Art. 323-3. (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002). (Loi nº 2004-575 du 21 juin 2004 art. 45 III Journal Officiel du 22 juin 2004). Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

    • [^] # Re: Parce que c'est mal

      Posté par  . Évalué à 9.

      Et aussi parce que ca ressemblerait furieusement à certain spam que je recois, ventant les mérites d'un quelquonque logiciel proprietaire anti spam (pour win en plus... j'aurais bien du mal a m'en servir :p).

      Bref c'est vraiment MAL (tm) ;)

  • # Question

    Posté par  (site web personnel) . Évalué à 3.

    Y aurait-il des exemples (non destructeurs) pour tester si un PC est vulnérable ?

    • [^] # Re: Question

      Posté par  . Évalué à 4.

      Sûrement, par exemple en regardant le nivau de maj de l'OS, ou carrément un numéro de version d'une dll. Cependant c'est probablement hors de portée d'une page web affichée par IE - excepté si on utilise une autre faille pour accéder à ce genre de donnée, mais là on retombe à la case départ.

      Une solution légalement possible est de créer une popup qui s'affiche sous IE pour prévenir des risques encourues par ce navigateur, en proposant un lien vers FireFox (et pourquoi pas vers Windows Update, un peu d'éducation ne fait pas de mal).

      • [^] # Re: Question

        Posté par  (site web personnel) . Évalué à 4.

        et pourquoi pas vers Windows Update, un peu d'éducation ne fait pas de mal)
        Ou carrement dans Panneau de configuration > Système > Mises à jour -> automatiques

        • [^] # Re: Question

          Posté par  . Évalué à 0.

          Question stupide: qu'en est il de l'utilisation de IE sous linux :) je vous rassure, je ne m'en sers pas de IE (que ce soit sous win ou sous linux), mais il est installé (il a été demandé pour que je puisse installer office. je sais que c'est mauvais, mais pour faire des présentations ppt, je préfère tjr powerpoint).

          • [^] # Re: Question

            Posté par  . Évalué à 0.

            :D
            Tu utilises une version pirate de Winex je suppose aussi ? ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.