• # 8 millions ?

    Posté par  (site web personnel) . Évalué à 5.

    our Zero Day Initiative program received a critical vulnerability affecting Firefox 3.0 as well as prior versions of Firefox 2.0.x.

    Il est écrit que la faille touche aussi la version 2.0.x donc c'est un peu plus de 8 millions d'ordinateurs qui sont affectés. De plus il est dit que la faille ne sera pas divulguer avant que Mozilla sorte un patch.

  • # Quoi !?

    Posté par  . Évalué à 10.

    Toute ma confiance en ce logiciel s'effondre...
    Je retourne sous IE qui lui, au moins, est développé par une société soucieuse de ses utilisateurs.

    • [^] # moi je repasse sous lynx

      Posté par  (site web personnel) . Évalué à 6.

      qui n'a pas la faille, semble-t-il

      :-)

      Une petite voix me dit que lynx n'a pas la navigation par onglets, à confirmer.

      ウィズコロナ

    • [^] # Re: Quoi !?

      Posté par  . Évalué à 6.

      Et oui, ils ont trouvé la technique ultime pour la sécurité. Pas de code source, donc pas de bugs et pas de failles :-P

      • [^] # Re: Quoi !?

        Posté par  . Évalué à 0.

        heu, je ne crois pas qu'actuellement la recherche de vulnérabilité passent pas la lecture du code source. Je pencherais plutôt par l'utilisation d'outils spécialisés (genre fuzzing). L'utilisation du code source se ferait alors dans un second temps pour comprendre la faille, voir proposer une solution.

  • # Faille quantique ?

    Posté par  . Évalué à 1.

    While Mozilla is working on a fix, we wont be divulging anything else until a patch is available, adhering to our vulnerability disclosure policy. Once the issue is patched, we'll be publishing an advisory here. Working with Mozilla on past security issues, we've found them to have a good track record and expect a reasonable turnaround on this issue as well.

    Ok, donc en gros : "Ça fait pas 24 heures que FF3 est sorti et nous, chez DVLabs, on a déjà trouvé une faille ! Honte à eux et gloire à nous. Bon ok, la faille existait déjà. Sinon, euh, y a une faille mais on peut pas vous dire laquelle à cause de notre code de déontologie. Mais ne vous inquiétez pas, on a déjà bossé un peu avec Mozilla et ils ont l'air d'être de bons petits gars".

    Qu'ils choisissent de ne pas divulguer les failles avant correction, ça peut se comprendre même si l'on est d'accord avec cette politique ou pas. Mais pour le reste, surtout présenté comme çà, c'est quand même les prémisses du FUD ...

    • [^] # Re: Faille quantique ?

      Posté par  . Évalué à 10.

      Moi ce que je vois c'est qu'ils ont vu la faille pendant le cycle beta/rc, ils ont rien dit a personne et au moment de la release, TADA ! Gros coup de pub, on a trouvé une faille en moins de 48 heures.

      Par contre qu'ils ne détaillent pas la manière d'exploiter la faille tant qu'elle n'a pas été corrigée je suis plutôt pour.

      • [^] # Re: Faille quantique ?

        Posté par  . Évalué à 7.

        Par contre qu'ils ne détaillent pas la manière d'exploiter la faille tant qu'elle n'a pas été corrigée je suis plutôt pour.

        Oui, je ne remets pas ça en cause. Plutôt la manière dont leur "initiative" est gérée. Ça a l'air de partir d'une bonne intention mais il y a quelque chose de puant derrière. Ça se confirme quand on lit d'une part les commentaires :

        Anonymous commented on 2008-06-18 @ 18:07
        Why did you not find it in the Release Candidates

        Zero Day Initiative commented on 2008-06-18 @ 18:52
        @Anonymous
        The vulnerability was submitted to us by a researcher that prefers to remain anonymous. Even though the issue affects older 2.0.x versions, as to why he didn't find the vulnerability earlier is something we don't presume to know.

        et d'autre part la présentation et la FAQ, on comprend qu'il s'agit de rémunérer les découvreurs de failles de sécurité. En plus, ils n'indiquent pas clairement ce qu'ils entendent par zero day, mais il semblerait qu'il s'agisse d'encourager les gens à faire connaître immédiatement leurs découvertes, à l'aide de récompenses, donc.

        Tout cela est extrêmement sulfureux, et cela expliquerait pourquoi certaines personnes cacheraient l'antériorité d'une découverte. Bref : ils ne sont probablement pas foncièrement malhonnètes, mais il n'en reste pas moins que leurs annonces doivent être reçues avec beaucoup de réserve;

        • [^] # Re: Faille quantique ?

          Posté par  . Évalué à 8.

          C'est assez simple en fait.

          TippingPoint est une societe qui fait des IDS et autres softs de securite.

          Ils ont cree ce programme afin d'avoir l'IDS le plus a jour (le leur est immediatement mis a jour, les autres le seront uniquement quand le patch sort et la faille est revelee), et donc y gagnent de ce cote la.

          Un "zero day" c'est un mot qu'ils utilisent pour le marketing, ils ne vont pas faire de zero day, mais bosser avec l'editeur pour que la faille soit corrigee.

          Quand a cette faille, mon petit doigt me dit effectivement que le gars qui l'a trouvee a attendu que la 3.0 sorte, car ca fait meilleur effet pour lui.

        • [^] # Re: Faille quantique ?

          Posté par  (site web personnel) . Évalué à 2.

          Tu vas voir que c'est une dev IE qui l'a découverte :-)

          • [^] # Re: Faille quantique ?

            Posté par  . Évalué à 5.

            ou qui avait contribué à FF ;)

            Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.