Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Internet Explorer victime d’une faille, Microsoft sur la brèche

Chacun son tour...

Internet Explorer victime d'une faille, Microsoft sur la brèche

Le 09 février 2015 à 08h16

Depuis la semaine dernière, une nouvelle faille secoue Internet Explorer. Celle-ci permettrait en effet de voler ou d'injecter « n'importe quoi » sur un site tiers. De son côté, Microsoft tente de calmer le jeu en précisant que la faille ne serait pas « activement exploitée » et qu'un correctif est en préparation.

Les failles se suivent, mais ne se ressemblent pas. Tel pourrait être l'adage de ce début d'année. Le lecteur Adobe Flash était en effet récemment victime d'une brèche « 0-day », y compris dans sa dernière version, ce qui signifie qu'elle est d'ores et déjà exploitée. De son côté, Chrome vient de se mettre à jour afin de boucher plus d'une dizaine de failles.

Un contournement de la fonction Same-origin policy

Cette fois-ci, c'est au tour d'Internet Explorer d'être au centre de la tourmente avec une nouvelle faille « 0-day » liée à JavaScript. Le problème viendrait d'un contournement de la fonction « Same-origin policy » présente dans tous les navigateurs récents. Mozilla en donne la définition suivante : « Elle restreint la manière dont un document ou un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine ». Pour faire simple, elle cloisonne donc les données afin d'éviter qu'un site puisse accéder, ou modifier, les données d'un autre site. 

David Leo, qui publie tous les détails de cette faille sur Seclists, indique que les conséquences pourraient être fâcheuses : « des pirates pourraient voler n'importe quoi provenant d'un autre domaine, mais aussi injecter ce qu'ils veulent ». Via un lien spécialement conçu pour, un pirate pourrait donc faire croire aux internautes qu'ils arrivent sur un site officiel, alors que le code de la page a été modifié afin de récupérer des informations. David Leo propose d'ailleurs une démonstration en modifiant le contenu d'une fenêtre externe ouverte via son site (le Dailymail.co.uk en l'occurrence).

Internet Explorer faille XSS

Microsoft travaille sur un correctif

Pour le moment, aucun patch n'est disponible, mais Microsoft a envoyé un communiqué à plusieurs de nos confrères anglophones : « Afin d'exploiter cette faille, un attaquant devrait d'abord attirer une personne, souvent par la ruse via phishing, sur un site malveillant spécialement conçu ». La société précise que son SmartScreen, « activé par défaut sur les versions récentes d'Internet Explorer, propose justement une protection contre les attaques par phishing ».

Elle ajoute ensuite qu'elle « n'est pas au courant que cette vulnérabilité soit activement exploitée » et que, bien évidemment, elle « travaille afin d'y remédier via une mise à jour ». Cette dernière n'est par contre pas disponible pour le moment. Comme toujours en pareille situation, il est donc recommandé d'éviter de naviguer sur des sites inconnus et d'ouvrir des liens provenant de sources non vérifiées.

Commentaires (108)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Complètement HS (donc à sabrer si besoin) mais W T F :http://www.nextinpact.com/Error/Execute404?aspxerrorpath=/news/



Surement la meilleure page 404 que j’ai vue depuis très longtemps :-)

/clap

votre avatar

cette faille est le graal du phishing en somme !

votre avatar

Une de plus ou une de moins à la limite …

votre avatar







Enoxya a écrit :



Complètement HS (donc à sabrer si besoin) mais W T F :http://www.nextinpact.com/Error/Execute404?aspxerrorpath=/news/



Surement la meilleure page 404 que j’ai vue depuis très longtemps :-)

/clap





y a au moins 60% de mes collègues (en étant hyper bienveillant sur le chiffre…)  que ça paniquerait ^_^

(Et le développement de l’acronyme HADOPI est priceless <img data-src=" /> )


votre avatar

Bien que défenseur du libre et de GNU/Linux, je ne peux m’empêcher de râler sur ceux qui trollent sur Internet Explorer juste parce que c’est IE . Le navigateur a bien changé depuis sa version 6 .

votre avatar







hycday a écrit :



cette faille est le graal du phishing en somme !





Clairement… Tous les conseils que l’on donne pour eviter le phishing tombe à l’eau avec un truc comme ça…


votre avatar







alegui a écrit :



Bien que défenseur du libre et de GNU/Linux, je ne peux m’empêcher de râler sur ceux qui trollent sur Internet Explorer juste parce que c’est IE . Le navigateur a bien changé depuis sa version 6 .





Si c’est drôle y’a pas de problème. Mais c’est vrai que 9 fois sur 10 c’est bien bien lourd.

Accessoirement, pourquoi es-tu “défenseur du libre” ?


votre avatar







alegui a écrit :



Bien que défenseur du libre et de GNU/Linux, je ne peux m’empêcher de râler sur ceux qui trollent sur Internet Explorer juste parce que c’est IE . Le navigateur a bien changé depuis sa version 6 .





Totalement d’accord. IE6 à fait probablement le plus de tort à IE. Mais faut évoluer les gars, c’était en 2001 !!! Déjà depuis IE9 il faut le reconnaître, c’était redevenu un bon navigateur. IE9 c’était en 2011. Et IE11 aujourd’hui, est un très bon navigateur, et ce depuis fin 2013…


votre avatar







alegui a écrit :



Bien que défenseur du libre et de GNU/Linux, je ne peux m’empêcher de râler sur ceux qui trollent sur Internet Explorer juste parce que c’est IE . Le navigateur a bien changé depuis sa version 6 .





C’est bien vrai! D’ailleurs pour s’en convaincre voici la liste des failles IE.


votre avatar







lincruste_2_la vengeance a écrit :



Accessoirement, pourquoi es-tu “défenseur du libre” ?



Peut-être parce que c’est “libre”…



Enfin, je dis ça, je dis rien hein…<img data-src=" />


votre avatar



Elle ajoute ensuite qu’elle « n’est pas au courant que cette vulnérabilité soit activement exploitée ».



Il faut être extrêmement naïf pour croire ça, $^*ù de langue de bois quand même…

votre avatar

Ce qui est bien avec IE c’est qu’on voit la même news toutes les semaines.

votre avatar

Ce n’est pas du troll, c’est juste un fait avéré. Internet Explorer est à la masse depuis des lustres sur de nombreux points. Quand à la politique de Microsoft consistant à imposer son navigateur à travers Windows Update, no comment.

votre avatar

Ça fonctionne aussi avec FF …

http://insecure.org/search.html?q=firefox

votre avatar







Elitis a écrit :



consistant à imposer son navigateur à travers Windows Update.





Je vois pas ce que tu veux dire par là?


votre avatar







Bill2 a écrit :



Ça fonctionne aussi avec FF …

http://insecure.org/search.html?q=firefox





Gaffe quand meme, deja FF à moins de resultats, mais dans le meme coup tu compares les resultat d’un navigateur open-source (donc plus facilement “auditable”) et tres largement utilisé par les experts secu à un navigateur aux sources fermées qui doit etre utilisé par une part assez insignifiante de cette communauté…


votre avatar







vloz a écrit :



Je vois pas ce que tu veux dire par là?







Son installation ne devrait pas être incluse dans Windows Update (même en facultatif). C’est un débat qui n’est pas du tout nouveau d’ailleurs.


votre avatar

Non non. Balancer une info polémique sans source ni justification, c’est l’exacte définition du troll.

votre avatar

Hein ? En ça tombe à l’eau ?

Au contraire, c’est maintenant que ça sert ces conseils

votre avatar







Elitis a écrit :



Son installation ne devrait pas être incluse dans Windows Update (même en facultatif). C’est un débat qui n’est pas du tout nouveau d’ailleurs.



<img data-src=" />

<img data-src=" /> faut bien un navigateur dans l’OS, ne serait-ce que pour aller en télécharger un autre.

Un utilisateur lambda a besoin d’un navigateur, il va aps télécharger un exécutable en ligne de commandes..



Cela dit il devrait pas être autant imbriqué au système (donc “enlevable” proprement)



m’enfin c’est pas le sujet <img data-src=" />


votre avatar

Au dela de ca, la vraie faiblesse de IE, c’est qu’il est très peu mis a jour, et quand une faille est reperee, il faut attendre le premier mardi du mois pour avoir le patch. Si la faille est découverte le premier mercredi du mois, il vous faut attendre un mois pour avoir le correctif.



Là celle la elle est pas mal. Microsoft considère qu’elle n’est pas activement exploitée (mais exploitée quand même), donc ce n’est pas urgent, donc ca attendra début mars.



D’ici la, vivez avec, et faites attention où vous mettez les pieds.

votre avatar

Cette faille rend impossible tout auto diagnostic du phising. Sincèrement, elle est vraiment grave cette faille, il faut vraiment arrêter toute utilisation d’IE jusqu’a que ce soit patché.

votre avatar

Ca dépend quel conseil, si comme moi tu te contentes de dire que “avant de renseigné tes identifiant apple assure toi que” :




  • “le site soit crédible en terme de design et de langue ”

  • “l’url soit du type apple.com ”

  • “qu’un certificat type ssl authentifie bien l’origine ”



    Bah là, ça tombe un peu à l’eau… :S

votre avatar







CM-S a écrit :



Ce qui est bien avec IE c’est qu’on voit la même news toutes les semaines.





C’est une pique de rappel pour montrer que ce navigateur existe &nbsp;encore &nbsp;<img data-src=" />&nbsp;


votre avatar







jb18v a écrit :



<img data-src=" />

<img data-src=" /> faut bien un navigateur dans l’OS, ne serait-ce que pour aller en télécharger un autre.

Un utilisateur lambda a besoin d’un navigateur, il va aps télécharger un exécutable en ligne de commandes..



Cela dit il devrait pas être autant imbriqué au système (donc “enlevable” proprement)



m’enfin c’est pas le sujet <img data-src=" />





On a pas un browser d’application télécharchables sous Windows? Un peu comme sous Linux ou comme les repos d’applis pour téléphones maintenant.


votre avatar







seblutfr a écrit :



Non non. Balancer une info polémique sans source ni justification, c’est l’exacte définition du troll.





JVachez, sort de ce corps !&nbsp;


votre avatar







bill_door a écrit :



On a pas un browser d’application télécharchables sous Windows? Un peu comme sous Linux ou comme les repos d’applis pour téléphones maintenant.





Je croyais qu’il y avait ca aussi. Mais la dernière fois que j’ai installé un machin windows, le bidule pour selectionner le navigateur s’est lamentablement gauffré. Et comme IE est toujours préinstallé, j’ai fait a l’ancienne quoi. Il me semble pas qu’il y avait d’autres méthodes.


votre avatar







js2082 a écrit :



Peut-être parce que c’est “libre”…



Enfin, je dis ça, je dis rien hein…<img data-src=" />





Si tu n’avais vraiment rien dit ç’aurait été mieux vu que je ne t’ai pas posé la question.


votre avatar







flagos_ a écrit :



Cette faille rend impossible tout auto diagnostic du phising. Sincèrement, elle est vraiment grave cette faille, il faut vraiment arrêter toute utilisation d’IE jusqu’a que ce soit patché.





Mdrr &nbsp;j’ai l’impression que &nbsp;les failles d’IE deviennent tellement routinières que &nbsp;ça &nbsp;en devient lassant de regarder dans les détails pour savoir si telle ou telle est plus grave.&nbsp;<img data-src=" />


votre avatar







Elitis a écrit :



Ce n’est pas du troll, c’est juste un fait avéré. Internet Explorer est à la masse depuis des lustres sur de nombreux points. Quand à la politique de Microsoft consistant à imposer son navigateur à travers Windows Update, no comment.





Ce qui est constant c’est les “options internet” grisées et bloquées à mort tant qu’il a pas fini son timeout quand ça plante. Si tu le lances et que tu veux modifier le proxy, t’as le temps d’aller prendre une mousse au bar en face.


votre avatar

Au niveau sécurité, y’a les failles, et y’a la détection des malware.



Au niveau faille, tous les navigateurs en ont.

Et sauf erreur, depuis IE6, MS a largement amélioré les choses, et IE n’a plus rien à envier en terme de sécurité.



Au niveau des malwares, y’a une étude sympathique :)

https://www.nsslabs.com/sites/default/files/public-report/files/Browser%20Securi…

votre avatar







Bill2 a écrit :



IE n’a plus rien à envier en terme de sécurité.



À part un développement cryptique effectué par une bande d’ingénieurs mystérieux recouverts de cagoules sombres et dont personne n’a le droit d’auditer le code.


votre avatar

Euuu, il y a 2 critères pour déterminer la criticité d’une faille : le première est l’impact qu’elle à sur le système affecté (donc le pouvoir qu’elle donne à l’attaquant), et le second étant sa facilité d’exploitation (sa probabilité d’occurence).



De plus, une fois qu’une faille est exploitée, il ne faut pas très longtemps pour que la vulnérabilité soit pubiée que ce soit sur du close-source ou de l’open source.

votre avatar

Remettre en cause l’installation d’IE par Windows Update mais en revanche aucun problème quand c’est pour le faire de son gestionnaire de paquet.



Il n’est imposé nul part, il est proposé par Windows Update et on peut cacher cette proposition le concernant. Là encore quand des tonnes de paquets suggérés/recommandés inutiles sont indiqué comme à installer par défaut sur de nombreuses distribs lorsqu’on ne veut qu’un seul programme il n’y curieusement aucun problème.



#doublestandards <img data-src=" />





Sinon IE, comme le reste et idem ailleurs, son installation ne dépend pas de Windows Update.

votre avatar







Emralegna a écrit :



Remettre en cause l’installation d’IE par Windows Update mais en revanche aucun problème quand c’est pour le faire de son gestionnaire de paquet.



Il n’est imposé nul part, il est proposé par Windows Update et on peut cacher cette proposition le concernant. Là encore quand des tonnes de paquets suggérés/recommandés inutiles sont indiqué comme à installer par défaut sur de nombreuses distribs lorsqu’on ne veut qu’un seul programme il n’y curieusement aucun problème.



#doublestandards <img data-src=" />





Sinon IE, comme le reste et idem ailleurs, son installation ne dépend pas de Windows Update.







En général ces paquets sont des dépendances <img data-src=" />

Ensuite pour continuer dans le semi-<img data-src=" /> , j’jaoute qu’on a pas le choix de Windows mais le choix de distrib.



Mais d’un autre coté je suis d’accord avec toi: rien à foutre que IE sois dans Windows Update, c’est bien pratique pour déployer les mises à jour en entreprise via WSUS pour colmater les failles de Trident qui est exploité par d’autres applications qu’IE lui même.



La gestion de version / mise à jour en entreprise pour Firefox et autres navigateurs alternatifs c’est la misère…


votre avatar







Jed08 a écrit :



Euuu, il y a 2 critères pour déterminer la criticité d’une faille : le première est l’impact qu’elle à sur le système affecté (donc le pouvoir qu’elle donne à l’attaquant), et le second étant sa facilité d’exploitation (sa probabilité d’occurence). 



De plus, une fois qu'une faille est exploitée, il ne faut pas très longtemps pour que la vulnérabilité soit pubiée que ce soit sur du close-source ou de l'open source.




&nbsp;

A quel moment j’ai fait la distinction open/closed? ;)

Pas mal de gens sur cet article l’on faite, pas moi.

C’est une méprise.



Sinon : <img data-src=" />

&nbsp;


votre avatar







ActionFighter a écrit :



<img data-src=" />



We’re creative, com’on <img data-src=" />



—&gt; []





<img data-src=" /> <img data-src=" />


votre avatar







RaoulC a écrit :



&nbsp;

A quel moment j’ai fait la distinction open/closed? ;)

Pas mal de gens sur cet article l’on faite, pas moi.

C’est une méprise.



Sinon : <img data-src=" />

&nbsp;





Je sais, le dernier paragraphe était pour rajouter une couche sur le message “pouvoir lire le code source ne veut pas dire que c’est plus sécurisé” !



&nbsp;Sinon la première partie de mon message est assez importante si on veut comprendre pourquoi certaines vulnérabilités ne sont pas corrigées rapidement (ou pas du tout), comme la fameuse vulnérabilité vieille de 3 mois que MS n’a pas encore corrigée (certes ça permet une élévation de privilège, mais il est très difficile d’exploiter la vulnérabilité)


votre avatar

<img data-src=" />

votre avatar

C’est une histoire de confiance. Si Dassault plantait autant d’avions que Microsoft ses applis, lui aurait fait faillite depuis longtemps.

votre avatar

Dassault est maître de son hardware du début à la fin, on pourrait faire le comparatif avec Apple pour le coup.

MS gère une multitude de matériels niveau OS ce qui impose des contraintes différentes. Et rien ne prouve que les softs de Dassault n’ont pas des failles de sécurité.

votre avatar







gathor a écrit :



Comme toujours en pareille situation, il est donc recommandé d’éviter de

naviguer sur des&nbsp;sites inconnus et d’ouvrir des liens provenant de

sources non vérifiées.







Voilà.



Bon bah sinon c’est une faille, quoi. Une de plus, on va pas pleurer.

Enfin si MS a le temps de la sortir avant le 1er mardi du mois <img data-src=" />


votre avatar







uzak a écrit :



C’est une histoire de confiance. Si Dassault plantait autant d’avions que Microsoft ses applis, lui aurait fait faillite depuis longtemps.





Si Microsoft vendait autant que Dassault Aviation vend de Rafale, Microsoft aurait fait faillite depuis longtemps.<img data-src=" />


votre avatar







jeanfig a écrit :



Si Microsoft vendait autant que Dassault Aviation vend de Rafale, Microsoft aurait fait faillite depuis longtemps.<img data-src=" />





Avec Windows Phone on s’en rapproche….


votre avatar







CryoGen a écrit :



En général ces paquets sont des dépendances <img data-src=" />







Des dépendances optionnelles qui dont par défaut « obligatoire » si on ne fait pas attention du coup. D’autres fois elles le sont vraiment, obligatoire. Je le vois comme lorsque je veux Amarok mais sans 95% de KDE SC. De la même façon IE était une dépendance à X composant(s) de Windows.







CryoGen a écrit :



Ensuite pour continuer dans le semi-<img data-src=" /> , j’jaoute qu’on a pas le choix de Windows mais le choix de distrib.



[…]







Windows Starter, Windows Home Basic, Windows Home Premium, Windows Pro…



Bon ok, :mauvaise foi inside:. <img data-src=" />


votre avatar

Bon la faille a été patché !

Qui a dit qu’il faudrait attendre le mois prochain ? <img data-src=" />

votre avatar







flagos_ a écrit :



Cette faille rend impossible tout auto diagnostic du phising. Sincèrement, elle est vraiment grave cette faille, il faut vraiment arrêter toute utilisation d’IE jusqu’a que ce soit patché.





Comment elle rend impossible tout auto diagnostic du phising ? Elle ne peut être exploité que par phising !

&nbsp;Désactive le Javascript avant de cliquer sur un lien dont tu n’es pas sûr de l’origine et ça devrait aller.

&nbsp;



vloz a écrit :



Ca depent quel conseil, si comme moi tu te contente de dire avant de renseigné tes identifiant apple assure toi que:




  • le site soit crédible en terme de design et de langue

  • l’url soit du type apple.com

  • qu’un certificat type ssl authentifie bien l’origine



    Bah là, ça tombe un peu à l’eau… :S





    En quoi là ça tombe à l’eau ? Cette faille fonctionne uniquement via du phishing. C’est une XSS universel mais ça reste une XSS.

    Donc tu peux toujours t’en protéger facilement :

    &nbsp;- Emetteur inconnu -&gt; poubelle

    &nbsp;- Mail forgé à l’identique d’une banque/site e-commerce -&gt; désactiver le Javascript et clique sur le lien et après fait tes vérifications.


votre avatar







Elitis a écrit :



Quand à la politique de Microsoft consistant à imposer son navigateur à travers Windows Update, no comment.







&nbsp;Et Apple fait quoi sur OSX avec Safari ? <img data-src=" />

Tu peux pas reprocher à une compagnie de fournir&nbsp;son navigateur web qui est le sien sur&nbsp;son système. C’est son produit, je vois pas le problème du moment qu’il n’empêche pas de télécharger les navigateurs concurrents.



Sinon, on met rien du tout, et laisse les gens se démerder pour en choper un en ligne de commande. De la procédure user-friendly top moumoute. <img data-src=" />


votre avatar

Comme … la majorité des entreprises qui créent des solutions informatiques ? parce que c’est un monde capitaliste et que les boites filent pas ce qu’elles font ?



Attention, je dis pas que le libre, c’est naze. Mais on l’impression que tu découvres le capitalisme quand tu dis ça.

votre avatar







Jed08 a écrit :



Comment elle rend impossible tout auto diagnostic du phising ? Elle ne peut être exploité que par phising !

&nbsp;Désactive le Javascript avant de cliquer sur un lien dont tu n’es pas sûr de l’origine et ça devrait aller.

&nbsp;

En quoi là ça tombe à l’eau ? Cette faille fonctionne uniquement via du phishing. C’est une XSS universel mais ça reste une XSS.

Donc tu peux toujours t’en protéger facilement :

&nbsp;- Emetteur inconnu -&gt; poubelle

&nbsp;- Mail forgé à l’identique d’une banque/site e-commerce -&gt; désactiver le Javascript et clique sur le lien et après fait tes vérifications.





Ben la &nbsp;tu peux faire un phising où le gars arrive sur vraie page mais se fait en fait aspirer les données. Comme tu dis c’est du XSS mais en mode tu fais ce que tu veux, et franchement, c’est super dur a détecter pour l’utilisateur.



A part peut etre en désactivant javascript. Ou en alors en utilisant Firefox/Chrome en attednant que ce soit patché.


votre avatar







flagos_ a écrit :



Ben la &nbsp;tu peux faire un phising où le gars arrive sur vraie page mais se fait en fait aspirer les données. Comme tu dis c’est du XSS mais en mode tu fais ce que tu veux, et franchement, c’est super dur a détecter pour l’utilisateur.





Mais pour cela il faut que le site web en question soit vulnérable à une faille XSS.


votre avatar

Là où ca peut être chaud c’est si un site normal est infecté (par exemple une page yahoo, un site de cuisine etc.)

Et qu’il tente d’injecter en permanence du code sur des sites précis. Si tu visites un site ciblé tu te fait avoir sans passer par la case phising…

votre avatar

Dans la majorité des cas tu ne peux pas identifier l’émetteur d’un mail, l’adresse d’expédition ca se falsifie tres facilement, et c’est pour ça qu’on a d’ailleurs donné la possibilité d’utiliser des certificat par messagerie… L’ennui (et j’en connais pas la cause), c’est que les mails restent trés rarement signé…

votre avatar







Jed08 a écrit :



Mais pour cela il faut que le site web en question soit vulnérable à une faille XSS.





Il suffit d’etre allé rendre visite a un site piège, ce dernier te présente un lien qui va bien vers ta banque ou quoi. Et c’est fini, les mecs peuvent ajouter leur script et recupérer tes données, alors que tu es bien sur le site officiel. C’est là que c’est vache: tu es bien sur le site officiel mais en fait tu t’es fait hacké.



Enfin moi c’est comme ca que je comprends la faille, et sincèrement, je la trouve vraiment importante.


votre avatar

Faux. Micorsoft à déjà patché hors Tuesday patch et plus d’une fois …. Ça à déjà été dit plusieurs fois m’enfin le bashing Microsoft à la vie dur !



Quand la faille est vraiment craignos Microsoft patch comme le font toutes les autres boîtes.

votre avatar







CryoGen a écrit :



Là où ca peut être chaud c’est si un site normal est infecté (par exemple une page yahoo, un site de cuisine etc.)

Et qu’il tente d’injecter en permanence du code sur des sites précis. Si tu visites un site ciblé tu te fait avoir sans passer par la case phising…





La c’est plus problématique.

Une stored XSS qui permet de récupérer des données ou d’installer des malwares sur les PC, j’avoue que c’est assez fatal


votre avatar







Kiroha a écrit :



Faux. Micorsoft à déjà patché hors Tuesday patch et plus d’une fois …. Ça à déjà été dit plusieurs fois m’enfin le bashing Microsoft à la vie dur !



Quand la faille est vraiment craignos Microsoft patch comme le font toutes les autres boîtes.





Oui. Mais là le discours “la faille n’est pas activement exploitée” veut dire, en langage de com, que MS va attendre le mois prochain pour envoyer le patch.



Alors que la faille est vraiment craignos.


votre avatar

Ce peut-être d’autant plus dangereux, si&nbsp;ce sont les annonceurs qui se sont fait piéger et dont les publicités sont utilisées sur des sites très fréquentés.

votre avatar







shadowfox a écrit :



Comme … la majorité des entreprises qui créent des solutions informatiques ? parce que c’est un monde capitaliste et que les boites filent pas ce qu’elles font ?



Attention, je dis pas que le libre, c’est naze. Mais on l’impression que tu découvres le capitalisme quand tu dis ça.





Y’a aucune opposition possible entre le logiciel libre et le capitalisme, monsieur l’apprenti donneur de leçon.

&nbsp;Au contraire, sans code libre, le web chez Microsoft serait aujourd’hui limité à netBIOS et Microsoft Network. Ils peuvent remercier BSD et le code de leur pile IP.


votre avatar







Kiroha a écrit :



Faux. Micorsoft à déjà patché hors Tuesday patch et plus d’une fois …. Ça à déjà été dit plusieurs fois m’enfin le bashing Microsoft à la vie dur !



Quand la faille est vraiment craignos Microsoft patch comme le font toutes les autres boîtes.





Du coup, c’était quoi le souci avec la faille dévoilée par Google juste avant un Patch Tuesday ? (Patch que MS ne semblait pas pouvoir ou vouloir sortir avant) Pourquoi ça a fait un tel pataquès ?



(Je précise qu’il s’agit là d’une vraie question)


votre avatar







flagos_ a écrit :



Il suffit d’etre allé rendre visite a un site piège, ce dernier te présente un lien qui va bien vers ta banque ou quoi. Et c’est fini, les mecs peuvent ajouter leur script et recupérer tes données, alors que tu es bien sur le site officiel. C’est là que c’est vache: tu es bien sur le site officiel mais en fait tu t’es fait hacké.



Enfin moi c’est comme ca que je comprends la faille, et sincèrement, je la trouve vraiment importante.





Beaucoup trop compliqué.

L’hypothèse de CryoGen est beaucoup plus plausible : une stored XSS sur n’importe quel site, tout ceux qui visite la page se font infecté par un malware qui pourra récupèrer beaucoup plus de données (ou miner des bitcoins).


votre avatar

Pourquoi tu ne supportes pas le libre alors?

votre avatar

NoPC … No Problem <img data-src=" />

votre avatar

+1

votre avatar







bill_door a écrit :



On a pas un browser d’application télécharchables sous Windows? Un peu comme sous Linux ou comme les repos d’applis pour téléphones maintenant.





A part le windows store, non. Donc pas de butineur INside. Seul le ballot imposé à Microsoft en proposait un.


votre avatar







PtaH a écrit :



NoPC … No Problem <img data-src=" />





<img data-src=" /> NoIE, No problemo&nbsp; <img data-src=" />


votre avatar

Je suis pas d’accord: les gens qui tolerent le libre sont tous des hyppie nudiste drogué vegetarien bobo! Regardez Stallman…

votre avatar

Ok, merci. En fait, depuis 2-3 ans je n’ai pas eu l’occasion d’utiliser un PC sous Windows et je me demandais du coup si cela avait changé. Il semble que je sois un doux rêveur.

votre avatar







flagos_ a écrit :



Cette faille rend impossible tout auto diagnostic du phising. Sincèrement, elle est vraiment grave cette faille, il faut vraiment arrêter toute utilisation d’IE jusqu’a que ce soit patché.





Et la tu utilises un autre navigateur avec une faille utilisée mais non encore “découverte” et c’est le drame…







Zyami a écrit :



Vous préférez qui ?



IE ou Safari ?



Chromium ou Firefox, il ne reste plus que cela.





Ben chaque navigateur ayant eu des failles plus ou moins importantes… et la pire restant toujours celle à venir… le plus simple reste encore d’utiliser des règles de prudence simple quand on va sur le web…



J’utilise dans l’ordre FF/Opera/IE mais en aucun cas je ne me sens protégé par mes choix de navigateurs…


votre avatar







carbier a écrit :



J’utilise dans l’ordre FF/Opera/IE mais en aucun cas je ne me sens protégé par mes choix de navigateurs…





Si tu veux te sentir protégé, utilises ICondom <img data-src=" />


votre avatar







Elitis a écrit :



Son installation ne devrait pas être incluse dans Windows Update (même en facultatif). C’est un débat qui n’est pas du tout nouveau d’ailleurs.





Ah bon? D’où tu sors que ça ne devrais même pas être proposer en facultatif? T’as déjà constaté comment ça se passe ailleurs?


votre avatar

“tous les navigateurs en ont” c’est juste un constat d’échec.

Le problème c’est que pour IE (et les autre navigateurs closed source) on a aucune idée de l’ordre de grandeur de l’échec.



Quand à l’étude, bien que très intéressante, elle date un peu maintenant et la méthodologie devrait être intégrée au PDF.

Et elle ne pointe qu’une partie de la sécurité. par exemple un site internet avec un problème de certificat, IE va pas t’empêcher d’aller sur le site, là où Chrome et Firefox t’en empêche.

Donc la sécurité a été accrue sur certain point de IE.



il serait intéressant ( <img data-src=" /> ) de voir des tests croisés des différentes boites qui créés ces navigateur pour se faire une idée:

Mozilla testerait IE Chrome et Safari

Microsoft testerait Firefox Chrome et Safari

etc…

et après ils se tapent dessus pour dire que leur méthodologie est biaisée, mais au moins on aura des aperçus de chacun. <img data-src=" />

votre avatar







vloz a écrit :



Je suis pas d’accord: les gens qui tolerent le libre sont tous des hyppie nudiste drogué vegetarien bobo! Regardez Stallman…





<img data-src=" />


votre avatar







geekounet85 a écrit :



“tous les navigateurs en ont” c’est juste un constat d’échec.

Le problème c’est que pour IE (et les autre navigateurs closed source) on a aucune idée de l’ordre de grandeur de l’échec.





A moins que tu sois un spécialiste de la sécurité et de l’audit de code et que tu audites en profondeur chaque logiciel open source que tu utilises, tu as également aucune idée de l’ordre de grandeur de l’échec pour FF et Chrome.

Alors tu peux te rassurer en te disant que des gens plus compétents que toi le font surement à ta place, mais tu n’as aucun moyen d’en être sûr non plus.


votre avatar







vloz a écrit :



Je suis pas d’accord: les gens qui tolerent le libre sont tous des hyppie nudiste drogué vegetarien bobo! Regardez Stallman…





Encore des préjugés ridicules <img data-src=" />



Je ne suis ni un hippie ni un bobo, et ce que je fais sur les plages ne regarde personne <img data-src=" />


votre avatar







ActionFighter a écrit :



Encore des préjugés ridicules <img data-src=" />



Je ne suis ni un hippie ni un bobo, et ce que je fais sur les plages ne regarde personne <img data-src=" />





une plage nudiste où t’as pas le droit de regarder çaynul <img data-src=" />


votre avatar







WereWindle a écrit :



Du coup, c’était quoi le souci avec la faille dévoilée par Google juste avant un Patch Tuesday ? (Patch que MS ne semblait pas pouvoir ou vouloir sortir avant) Pourquoi ça a fait un tel pataquès ?



(Je précise qu’il s’agit là d’une vraie question)





Bah c’est qu’ils ont été obligés de se sortir les doigts du cul alors que ca faisait plus de 3 mois que leurs utilisateurs n’étaient pas protégés.



Mais tu comprends, le bashing Microsoft a la vie dure&nbsp;<img data-src=" />


votre avatar







flagos_ a écrit :



Oui. Mais là le discours “la faille n’est pas activement exploitée” veut dire, en langage de com, que MS va attendre le mois prochain pour envoyer le patch.





&nbsp;Attends demain pour sortir tes grandes prédictions. :)









shadowfox a écrit :



Ce peut-être d’autant plus dangereux, si&nbsp;ce sont les annonceurs qui se sont fait piéger et dont les publicités sont utilisées sur des sites très fréquentés.





Euuu, là je saurais pas quoi dire. Les listes Ad Block devrait bloquer ce genre de script normalement non ?


votre avatar

Je ne&nbsp;dis pas le contraire ! Je dis juste que c’est pas le genre des entreprises ! Va demander le code source d’une application à Dassault, tu verras la réponse.

votre avatar

Ou que la faille en question réprésente un faible risque et que la corriger n’est pas prioritaire ?

votre avatar

Pour avoir suivi de loin, Microsoft à bien travaillé sur la correction mais lors des test ils se sont rendu compte que ça faisait planté certaine machine.&nbsp;



Ils ont donc demandé à Google de rallonger la divulgation publique de la faille afin de faire plus de test pour ne pas sortir un patch bancal et Google à refusé et à divulguer le moyen d’utiliser la faille.



Le pataquès est partit de là. Google à fait sa raclure en sachant que Microsoft bossé dessus mais qu’il été confronté à un bug. Et Microsoft à pigné car cela exposé les configs à la faille.&nbsp;



Bref Dallas quoi <img data-src=" />

votre avatar

À condition d’utiliser un adblocker et que ce ne soit pas passé à travers les mailles du filets. Toutes les pubs ne sont pas forcément bloquées.&nbsp;<img data-src=" />

votre avatar

De ce que j’en comprend, le site ciblé est ouvert via window.open, qui retourne un un objet permettant de manipuler le DOM de la fenêtre ouverte. Normalement, ça marche que dans certaines conditions, mais en l’occurence la faille permet d’outrepasser les règles CORS.



C’est légèrement HS, mais j’espère qu’ils vont finir par supprimer cette fonction window.open, je ne l’ai jamais vue utilisée à bon escient et ça pose souvent des problèmes …

votre avatar







Jed08 a écrit :



Beaucoup trop compliqué.

L’hypothèse de CryoGen est beaucoup plus plausible : une stored XSS sur n’importe quel site, tout ceux qui visite la page se font infecté par un malware qui pourra récupèrer beaucoup plus de données (ou miner des bitcoins).





Tu arrives dans un forum, tu postes un lien vers ta page pour aller voir un truc soit disant en mode amazon ou quoi. Tu passes par un raccourcisseur d’url pour que les mecs ne puissent pas lire ton lien et tu les rediriges directement la ou tu veux les emmener.



Simple et efficace. Et sincèrement, je doute qu’on puisse le détecter.


votre avatar







js2082 a écrit :



Pourquoi tu ne supportes pas le libre alors?





Hein de quoi ? Tu as lu ça où ?


votre avatar







shadowfox a écrit :



Je ne&nbsp;dis pas le contraire ! Je dis juste que c’est pas le genre des entreprises ! Va demander le code source d’une application à Dassault, tu verras la réponse.





Bien sûr. Ça n’est pas pour autant une caractéristique capitaliste, absolument pas. Y’a pas plus capitaliste que les dirigeants de Google et pourtant il se gênent pas pour monter des projets open-source avec des licences reconnues par la FSF si ça arrange leur business. Et pour l’instant ça l’arrange plutôt bien.


votre avatar

Simple oui !

Efficace je ne sais pas. Je pense que la majorité des gens fréquentant des forums ne sont pas sous Internet Explorer. Donc si tu balances un faux lien, il y a moyen que tu te fasses repérer assez vite.

votre avatar







lincruste_2_la vengeance a écrit :



Hein de quoi ? Tu as lu ça où ?





Poser la question “pourquoi tu soutiens le libre?” signifie que tu ne comprends pas ce soutien, et par extension, que tu ne soutiens pas le libre.



La question la plus pertinente est donc “pourquoi tu ne soutiens pas le libre?”.


votre avatar







js2082 a écrit :



Poser la question “pourquoi tu soutiens le libre?” signifie que tu ne comprends pas ce soutien, et par extension, que tu ne soutiens pas le libre.



La question la plus pertinente est donc “pourquoi tu ne soutiens pas le libre?”.





Non non non, je lui demande parce qu’il entend par “soutenir le libre”. Le reste, l’extension, c’est dans ta tête.


votre avatar

Vous préférez qui ?



IE ou Safari ?



Chromium ou Firefox, il ne reste plus que cela.

votre avatar







flagos_ a écrit :



Tu arrives dans un forum, tu postes un lien vers ta page pour aller voir un truc soit disant en mode amazon ou quoi. Tu passes par un raccourcisseur d’url pour que les mecs ne puissent pas lire ton lien et tu les rediriges directement la ou tu veux les emmener.



Simple et efficace. Et sincèrement, je doute qu’on puisse le détecter.



De l’intérêt de gueuler sur ceux qui postent des URLs raccourcies sur les forums. La seule bonne raison d’utiliser des URLs raccourcies c’est sur twitter&co à cause de la limitation des caractères, partout ailleurs c’est de la connerie (sauf les quelques URL qui buggent dans les commentaires de NXI, mais en général c’est plus dû à des paramètres dispensables qu’autre chose)


votre avatar

NoFlash, NoScript…. No Problem ! <img data-src=" />

votre avatar







PtaH a écrit :



NoPC … No Problem <img data-src=" />





youtube.com YouTube&nbsp;<img data-src=" /> &nbsp;Un petit bonjour a athlon64 <img data-src=" />


votre avatar







WereWindle a écrit :



une plage nudiste où t’as pas le droit de regarder çaynul <img data-src=" />





Tu es libre de regarder mais il faut respecter les licences et ne pas réutiliser pour des arguments commerciaux <img data-src=" />


votre avatar

Une plage nudiste sous licence creative commons ? <img data-src=" />

votre avatar

Deux choses qui me font rire ici :





  • Certains (pas tous) utilisateurs de linux qui se sentent obligés de remettre en question certaines fonctionnalité de Windows (ex: Nouvelles versions de IE via Windows Updates) alors qu’ils “ n’y ont pas mis les pieds depuis 3 ans “. Pourquoi est-ce que Windows vous obsède si vous êtes heureux avec linux sur votre pc ? Il y a quand même des arguments plus sympa pour promouvoir vos distrib que “le reste c’est de la merde”.



  • Certains (pas tous) utilisateurs de Chrome/Firefox qui font plus confiance à leur navigateur bourré d’extensions - à la provenance rarement vérifiée / de confiance, et qui sont autant de failles / backdoor potentielles - qu’a la dernière version d’IE (ou à la rigueur, passez en mode incognito qui désactive vos extensions pour des trucs réellement sensibles …)

votre avatar







geekounet85 a écrit :



“tous les navigateurs en ont” c’est juste un constat d’échec.

Le problème c’est que pour IE (et les autre navigateurs closed source) on a aucune idée de l’ordre de grandeur de l’échec.





Le problème tiens aussi dans le fait de croire que parcequ’un logiciel est open-source, il a potentiellement moins de failles qu’un closed-source…


votre avatar







carbier a écrit :



Le problème tiens aussi dans le fait de croire que parcequ’un logiciel est open-source, il a potentiellement moins de failles qu’un closed-source…





ouais parce que tout le monde sait que si tout le monde peut voir le code, c’est plus facile pour les hackeur de trouver les failles ! <img data-src=" /> :JVachez:

(je suis d’accord par ailleurs )


votre avatar

je n’ai jamais dis ça.

je pense juste que ces failles peuvent être détectées plus facilement et colmatées plus rapidement quand elles sont critiques.

votre avatar







Aznox a écrit :



Deux choses qui me font rire ici :





  • Certains (pas tous) utilisateurs de linux qui se sentent obligés de remettre en question certaines fonctionnalité de Windows (ex: Nouvelles versions de IE via Windows Updates) alors qu’ils “ n’y ont pas mis les pieds depuis 3 ans “. Pourquoi est-ce que Windows vous obsède si vous êtes heureux avec linux sur votre pc ? Il y a quand même des arguments plus sympa pour promouvoir vos distrib que “le reste c’est de la merde”.



  • Certains (pas tous) utilisateurs de Chrome/Firefox qui font plus confiance à leur navigateur bourré d’extensions - à la provenance rarement vérifiée / de confiance, et qui sont autant de failles / backdoor potentielles - qu’a la dernière version d’IE (ou à la rigueur, passez en mode incognito qui désactive vos extensions pour des trucs réellement sensibles …)





    +1 pour le premier paragraphe.

    &nbsp;

    En revanche je sais pas mais si tu installes des extensions correctes (genre Noscript) à un moment on peu raisonnablement penser que l’on augmente plus la sécurité que l’exposition aux failles.

    C’est une affaire de ratio bénéfice / risque. <img data-src=" />



    “Je met pas une ceinture, on risque de m’étrangler avec si on exploite une faille chez moi” :)


votre avatar







shadowfox a écrit :



Une plage nudiste sous licence creative commons ? <img data-src=" />





<img data-src=" />



We’re creative, com’on <img data-src=" />



—&gt; []


votre avatar







RaoulC a écrit :



+1 pour le premier paragraphe.

&nbsp;

En revanche je sais pas mais si tu installes des extensions correctes (genre Noscript) à un moment on peu raisonnablement penser que l’on augmente plus la sécurité que l’exposition aux failles.

C’est une affaire de ratio bénéfice / risque. <img data-src=" />



“Je met pas une ceinture, on risque de m’étrangler avec si on exploite une faille chez moi” :)





sans compter que les bretelles sont infiniment plus classes <img data-src=" />


votre avatar

Bien sûr il y a des extensions de confiance avec des développeurs ou des sociétés connues de longue date derrière, mais je doute que la majorité des gens se contentent de celles-ci ou fassent un “background check” avant d’installer une extension …

votre avatar







geekounet85 a écrit :



je pense juste que ces failles peuvent être détectées plus facilement et colmatées plus rapidement quand elles sont critiques.





Pour le colmatage, why not. C’est évident que si elle est grave, ca risque de se bouger un peu plus les fesses.

Mais pour la détection à mon avis la gravité, ca ne change rien.



Ah moins que tu ne parle de la détection de son exploitation , évidemment :p



Je pensais “détection dans le code” moi <img data-src=" />


votre avatar







carbier a écrit :



Le problème tiens aussi dans le fait de croire que parcequ’un logiciel est open-source, il a potentiellement moins de failles qu’un closed-source…





<img data-src=" />



L’avantage du libre est d’ordre philosophique, et non de sécurité.



Après, on peut ergoter sur la fréquence des mises à jours, etc… mais ça n’est pas spécifique au closed-source.


votre avatar







RaoulC a écrit :



Ah moins que tu ne parle de la détection de son exploitation , évidemment :p



Je pensais “détection dans le code” moi <img data-src=" />





Ça revient au même au final. Les techniques de détections de failles et de leur exploitation sont similaires entre l’open-source et le closed-source.


votre avatar

De manière général, tu as raison en ce qui concerne la rapidité de mise au point et de publication d’un correctif. Par contre, pour celle de détection de failles c’est faux.

Quand tu tombe sur des logiciels anciens (créer dans les années 80-90), les anciennes briques du projet qui n’ont jamais été refaites (ça marche alors pourquoi y toucher) deviennent illisibles à cause de la différence de standards ou de leur non respect, c’est compliqué de les auditer.



L’article de Ars Technica sur GPG illustre bien la situation :arstechnica.com Ars Technica

&nbsp;

votre avatar







ActionFighter a écrit :



Ça revient au même au final. Les techniques de détections de failles et de leur exploitation sont similaires entre l’open-source et le closed-source.







Je parlais de la détection de l’utilisation de la faille dans la nature.

Si elle est critique, elle donne plus de pouvoir à l’attaquant, donc elle est potentiellement plus utilisée, donc plus “visible” pour ceux qui font de la “veille”&nbsp; :)



&nbsp;


Internet Explorer victime d’une faille, Microsoft sur la brèche

  • Un contournement de la fonction Same-origin policy

  • Microsoft travaille sur un correctif

Fermer