On verra bien au prochain pwn2own





pas besoin, IE10 s’est deja fait exploiter cette année, tout comme chrome et Firefox lors du pwn2own. Donc non, aucune protection n’est invulnérable.



mais ce n’est pas juste une faille qui fait d’un navigateur un logiciel à éviter.



pour exploiter une faille dans IE10 il leur avait fallu des mois de travail, et trouver plusieurs failles pour contourner toutes les protections mémoire et la sandbox sans avoir à s’appuyer sur des plugins tiers.



ce niveau de difficulté est rassurant, et montre que la plupart des hackers auront du mal à créer des exploits ciblant IE10.



donc pour peu que les utilisateurs utilisent une version récente d’IE, comme ils le feraient avec Chrome ou Firefox, l’exposition à des failles 0day exploitables devrait être très rare. L’exemple de cette news le montre, les hackers n’avaient pas les moyens (temps, compétences?) de cibler IE10/11 et se sont contentés de IE8/9.

je pense que tu connais déjà la réponse ? Je parles pas de WebRTC et autres trucs exotiques, je parles plutot de choses finalisées depuis longtemps qu’IE n’as jamais pu implementé, faute de temps.



je salut qu’ils essaient de rattraper le temps perdu au fil des versions, mais il y a un tel retard qu’il est normal qu’ils soient à la traine. en attendant perso, j’invite les visiteurs de mes sites sous IE a installer chromeframe, et tout le monde est content





et pourtant:



http://blog.jquery.com/2013/01/14/the-state-of-jquery-2013/



But to the point about cross-browser issues, it’s a complete myth that today’s modern browsers have no differences. Look through the jQuery source code and you’ll see plenty of places where it has to fix, patch, and mask issues in modern browsers; those problems didn’t end with IE8. jQuery 2.0 now has more patches and shims for Chrome, Safari, and Firefox than for Internet Explorer!

Moi aussi je te décerne un yaisse.gif





thanks :)





De plus a partir de IE11 je crois que le Enhanced Protected Mode (et donc le ForceASLR) de leur sandbox est activé par défaut donc ca va etre du tout bon





le ForceASLR a été backporté sous win7 et il est actif sous IE10 pour win7 et win8, même si l’enhanced protected mode est désactivé.



donc à lui seul il suffit pour faire échouer l’exploit actuellement en circulation.





Pour une fois que la faille ne touche pas IE6 …





la faille touche IE6 aussi, mais l’exploit ne cible que IE8/9 car c’est un exploit qui a été créé sur mesure à des fins d’espionnage industriel, et non pour infecter des PCs en masse.



les hackers savaient que leur cible était des entreprises tournant sous ie8 et 9. Un exploit ciblant IE6 aurait été plus simple à développer que l’exploit ciblant IE8/9 sur win7. Mais de toute évidence ça ne les intéressait pas.



si ces cibles avaient utilisé un autre navigateur, c’est cet autre navigateur qui aurait été ciblé (avec autant de volonté et de moyens, Firefox et chrome sont exploitables également…)

Petite question con.

Ce genre de faille de sécurité n’est dangereuse que si l’on considère le poste comme dépourvu d’antivirus ou d’outil de sécurité?





un antivirus ne peut bloquer que les malware connus (sous entendu, les plus diffusés).



il ne faut pas trop compter dessus pour se protéger des failles de ce type, car les éditeurs d’anti virus n’auront pas connaissance de toutes les variantes.



en revanche, l’utilisation de l’utilitaire de sécurité EMET peut modifier le fonctionnement des applications de manière à rendre incompatible les exploits 0day conçus pour contourner les protections appliquées dans la config par defaut de Windows (ex: ce malware ne cherche pas à contourner ForceASLR puisqu’il est désactivé par défaut sous ie8/9)



http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaroun…

(lire la section EMET4).



déjà rien que le fait d’utiliser la fonction mandatory ASLR de EMET sur iexplore.exe suffit à protéger les utilisateurs d’IE8/9 sous Windows 7, puisque ça équivaut à appliquer la fonction ForceASLR, celle là même qui protège efficacement IE10/11 contre l’exploit 0day dont parle cette news.



Microsoftau passage, EMET n’est pas spécifique à IE, il permet également de protéger des applications comme adobe Reader ou Firefox contre certaines failles 0day en activant des protections mémoires en cours d’expérimentation (et qui sont destinées à être intégrées dans les versions plus récentes de Windows).

IE reste le plus mauvais navigateur, même dans ses toutes dernières version, si on se base sur le côté sécurité.





encore un vieux mythe à la con.

depuis IE7/vista IE est devenu nettement plus sécurisé que ses concurrents (même si chrome a dépassé IE à un moment, depuis IE10/WIN8 IE est de nouveau plus secure).



pour en savoir plus:

http://www.julien-manici.com/blog/ie10-new-sandbox-enhanced-protected-mode-windo…





d’ailleurs si tu regardes le nombre de faille d’IE ces 10 dernières années (même IE6) tu seras choqué d’apprendre que IE a eu beaucoup moins de failles que Firefox ou chrome.



comme quoi entre les impressions et la réalité…!



d’ailleurs même Google confirme ces chiffres dans une étude qu’il a sponsorisée, et dans laquelle IE apparait comme ayant le moins de failles (même si Google estimait que la sandbox d’IE9 était moins efficace que celle de chrome).



au final, le navigateur le moins secure était… Firefox!



http://www.theregister.co.uk/2011/12/09/chrome_ie_firefox_security_bakeoff/



même lors du dernier concours de sécurité pwn2own, le hack de Firefox rapportait deux fois moins d’argent que le hack de IE ou chrome car Firefox était jugé plus facile à exploiter…





Il suffit de prendre l’exemple du Browser Pivoting qui n’est même pas une faille mais l’exploitation d’une fonctionnalité qui permet tout simplement d’accéder à tout site visité par l”utilisateur et ce quelque soit le mode d’authentification nécéssaire …



Tout simplement hallucinant, je vous invite à regarder la vidéo !





avant de partager une vidéo comme celle là ESSAYE au moins de comprendre de quoi elle parle!



c’est juste un gars qui montre ce qu’on peut faire sur une machine une fois qu’elle est déjà infectée par un malware.



autrement dit, la démo aurait tout aussi bien pu être faite sous chrome/linux ou osx/firefox sans exploiter la moindre faille.

Définitivement NON !



Le Browser Pivoting est un exploit qui dépend de l’architecture de Internet Explorer, ce n’est pas repoductible sur les autes navigateurs





tu as définitivement tort.



l’implémentation qu’a fait ce dev dépend d’IE 32bit. Autrement dit, l’exe qu’il fournit ne cible que IE 32bit.



mais le même principe est applicable à n’importe quel navigateur, du moment que l’OS accepte d’executer du code non sandboxé!



donc ça marcherait aussi avec IE 64BIT, Firefox, chrome, safari, sous Windows, linux et osx.



par contre ça ne pourrait pas marcher sous Windows RT, WP7/8, iOS, Android.

du moins, pas sans exploiter de faille qui permettrait de sortir de la sandbox applicative pour pouvoir prendre le contrôle du navigateur.

Je n’affirmerais pas que la faille n’est pas exploitable sous Windows 7 ie8/9 sans Office 2007 ; La DLL d’Office 2007 est une méthode parmi d’autres pour contourner l’ASLR, mais il y en a d’autres, moins publiques. Donc ça reste exploitable, mais pas par tout le monde :)





oui, c’est évidemment possible en utilisant java par exemple.



et même sans aucun plugin c’est également possible, mais ça,nécessiterait de trouver encore une ou plusieurs failles pour connaitre certains emplacements mémoire permettant de contourner ASLR. C’est le type d’exploit qu’on voit chaque année lors du pwn2own, mais on a jamais vu de tels exploits en liberté, car bien plus difficiles à créer.



c’est d’ailleurs pour cette raison que l’exploit en circulation ne fonctionne pas sous IE10/11, du fait que ForceASLR est actif sur ces versions d’IE.