Tous les détails sont là:
http://secunia.com/advisories/33089/
Apparament toutes les versions d'IE même les plus à jour sont vulnérables, et des exploits existent et sont déjà en activité.
L'occasion de convaincre encore quelques utilisateurs d'évoluer vers firefox ou d'autres navigateurs plus sécurisés et respectueux des standards?
# et?
Posté par abramov_MS . Évalué à -9.
[^] # Re: et?
Posté par Quikeg . Évalué à 10.
[^] # Re: et?
Posté par B16F4RV4RD1N . Évalué à 8.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: et?
Posté par Kerro . Évalué à -3.
une telle faille de sécurité aurait pu arriver dans un autre navigateur sous unix.
Impossible.
:-)
[^] # Re: et?
Posté par jigso . Évalué à 10.
Voyons voir combien de temps la faille va restée exploitable...
[^] # Re: et?
Posté par suJeSelS . Évalué à 10.
[^] # Re: et?
Posté par fcartegnie . Évalué à 3.
Suffisamment de temps pour qu'ils puissent annoncer leur nouveau OS comme "ultra secure" l'année prochaine.
[^] # Re: et?
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: et?
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: et?
Posté par Dr BG . Évalué à 10.
[^] # Ca c'est de la boite !
Posté par fcartegnie . Évalué à 2.
http://web.nvd.nist.gov/ cette année.
Et si on tape le nom de leur partenaire "kaspersky" ? Etonnant non ?
[^] # Re: Ca c'est de la boite !
Posté par fcartegnie . Évalué à 2.
# Mais non IE, c'est cikioure !
Posté par theocrite (site web personnel) . Évalué à 10.
Tous les détails sont là:
http://secunia.com/advisories/33089/
Tu as envoyé le lien aux personnes qui gèrent les élections prud'hommales ?
</mauvaise foi>
[^] # Re: Mais non IE, c'est cikioure !
Posté par Anonyme . Évalué à 3.
[^] # Re: Mais non IE, c'est cikioure !
Posté par sebek (site web personnel) . Évalué à 1.
http://www.infos-du-net.com/actualite/14876-election-prudhom(...)
[^] # Re: Mais non IE, c'est cikioure !
Posté par libre Cuauhtémoc . Évalué à -2.
Non, il peux fonctionner avec safari ou opera creuvard..
y'a pas que ie et firefox inculte
# Mais Messire qu'est-ce donc ?
Posté par Quikeg . Évalué à 2.
C'est quoi, une nouvelle forme de Worm ?
[^] # Re: Mais Messire qu'est-ce donc ?
Posté par Olorim . Évalué à 1.
La faille ici présenté, permet grâce à un exploit, de prendre la main sur une machine dont l'utilisateur aurait utilisé IE pour allé sur un site prévu a cet effet (entend par la qui contient l'exploit...)
[^] # Re: Mais Messire qu'est-ce donc ?
Posté par tuxsmouf . Évalué à 1.
L'annonce de la certa : http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-587/index.h(...)
[^] # Re: Mais Messire qu'est-ce donc ?
Posté par Larry Cow . Évalué à 2.
Ou alors j'ai raté un truc?
[^] # Re: Mais Messire qu'est-ce donc ?
Posté par inico (site web personnel) . Évalué à 2.
C'est pour éviter d'autre faille ...
[^] # Re: Mais Messire qu'est-ce donc ?
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Mais Messire qu'est-ce donc ?
Posté par inico (site web personnel) . Évalué à 1.
La zone ordinateur locale a désormais des restrictions supplémentaires style demande de permission avant d'exécuter un script.
[^] # Re: Mais Messire qu'est-ce donc ?
Posté par pasBill pasGates . Évalué à 2.
Installes un Windows de base et compare les parametre de securite des 2 zones, tu verras.
[^] # Re: Mais Messire qu'est-ce donc ?
Posté par inico (site web personnel) . Évalué à 1.
Parce que le comportements des zones ont un peu changés entre win xp rtm/ie6 et win xp sp3/ie{7|8}...
[^] # Re: Mais Messire qu'est-ce donc ?
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Mais Messire qu'est-ce donc ?
Posté par ecyrbe . Évalué à 1.
http://www.avertlabs.com/research/blog/index.php/2008/12/09/(...)
# et hier soir...
Posté par Thierry . Évalué à -2.
je reprendrais bien un peu de romanesco avec mon magret.
# Et pendant ce temps...
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 10.
http://www.lemondeinformatique.fr/actualites/lire-firefox-et(...)
(avec tout de même flash en deuxième position !)
[^] # Re: Et pendant ce temps...
Posté par suJeSelS . Évalué à 9.
En résumé leurs arguments: Ces logiciels sont populaires et installées par les utilisateurs sans supervision du SI, donc mal mis à jours, donc dangereux.
[^] # Re: Et pendant ce temps...
Posté par liberforce (site web personnel) . Évalué à 2.
[^] # Re: Et pendant ce temps...
Posté par zecrazytux (site web personnel) . Évalué à 4.
(ok ok y a des applis portables, mais je doutes que ça soit ce qui est le plus utilisé)
[^] # Re: Et pendant ce temps...
Posté par Nonolapéro . Évalué à 10.
Étonnant aussi, le site Bit9 comporte de nombreuses animations en Flash, donc pour profiter leur offre il faut installer un logiciel qu'ils considère comme une application non-sûre.
[^] # Re: Et pendant ce temps...
Posté par B16F4RV4RD1N . Évalué à 7.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Et pendant ce temps...
Posté par tuxsmouf . Évalué à 3.
[^] # Re: Et pendant ce temps...
Posté par Benjamin Lannoy . Évalué à 6.
[^] # Re: Et pendant ce temps...
Posté par fcartegnie . Évalué à 2.
Ca veut dire que les employés achetent eux même leur antivirus c'est bien connu.
Ca veut aussi dire qu'ils s'entendent bien avec Kaspersky, leur partenaire.
[^] # Re: Et pendant ce temps...
Posté par viking . Évalué à 5.
[^] # Re: Et pendant ce temps...
Posté par CrEv (site web personnel) . Évalué à 3.
On peut très bien installer (et plus facilement que sous windows) un firefox d'une version donnée dans son home (sans droits particuliers)
Et adieu les mises à jour centralisées et contrôlées...
[^] # Re: Et pendant ce temps...
Posté par Nicolas Bernard (site web personnel) . Évalué à 8.
[^] # Re: Et pendant ce temps...
Posté par Bruno Muller . Évalué à 4.
[^] # Re: Et pendant ce temps...
Posté par Sufflope (site web personnel) . Évalué à 9.
Toutes les techniques que j'ai trouvées quand je cherchais des infos là-dessus (appeller ld.so (ou approchant) avec en argument l'exécutable, etc.) sont inopérantes depuis longtemps.
# Microsoft reconnait que son modèle est pourri ?
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . Évalué à 10.
An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less affected than users who operate with administrative user rights.
Si ça c'est pas reconnaître qu'avoir un utilisateur avec les droits administrateur par défaut est une immense connerie...
[^] # Re: Microsoft reconnait que son modèle est pourri ?
Posté par Ilias Belaidi . Évalué à 1.
Mais bon à quoi sert de le dire, les utilisateurs sont déjà enfermés dans ce système
# Rapide?
Posté par Ilias Belaidi . Évalué à 1.
[^] # Re: Rapide?
Posté par B16F4RV4RD1N . Évalué à 2.
Alors, "Vitesse vs. Qualite, vous choisissez quoi ?"
cf. http://linuxfr.org/~MSUSA/27625.html
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Rapide?
Posté par pasBill pasGates . Évalué à 3.
Reste plus qu'a esperer que le patch ne casse rien.
[^] # Re: Rapide?
Posté par Nonolapéro . Évalué à 1.
Je ne savais qu'une sphère avait des côtés :-D
[^] # Re: Rapide?
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: Rapide?
Posté par Zenitram (site web personnel) . Évalué à 4.
Une semaine c'est très très rapide?
Ouch, nous n'avons pas la même notion de rapide.
J'aurai plutôt dit que c'est lent pour un patch critique, et qu'il faudrait revoir soit le code initial qui n'aide pas à débugger facilement soit l'organisation qui est trop peu réactive...
Question de point de vue. Les "pirates" eux s'en donnent à cœur joie en tous cas, et avec plus de rapidité.
[^] # Re: Rapide?
Posté par pasBill pasGates . Évalué à 1.
L'impact que peut avoir un de nos patchs si il met le bordel est enorme(va mettre le bordel sur ne serait ce que 10% des machines, ca fait >50 millions de gens qui hurlent), tu comprendras qu'on ne peut pas laisser grand chose au hasard et sortir un patch en un jour n'est pas qqe chose de raisonnable.
Je te laisse imaginer la masse a tester :
IE5, IE6, IE7 sur x OS differents, sur x revisions de service pack, sur 3 architectures
Alors oui, 7 jours pour cela c'est rapide.
On pourrait faire comme nos amis de Fedora: jeter un oeil sur le code, se dire "ok c'est bon" et ne quasiment rien faire niveau tests, mais on a tous vu le resultat...
[^] # Re: Rapide?
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: Rapide?
Posté par Sachiel . Évalué à 1.
Je suis désolé, mais tester sur plein d'architecture différentes se fait très bien en parallèle, si on s'organise bien, qu'on y met les moyens et de la volonté... Donc je ne vois pas en quoi il faudrait beaucoup plus de temps ?
[^] # Re: Rapide?
Posté par pasBill pasGates . Évalué à 1.
Et non, on ne peut pas prendre le testeur Windows moyen et le mettre sur un patch IE pendant 3 jours, parce qu'il ne sait pas comment faire les tests, interpreter les resultats, ...
Une passe de tests complete pour une plateforme c'est plusieurs semaines(2-3 en moyenne chez nous, j'imagines que c'est similaire chez IE), les tests d'integrations sont une addition a cela (tester qu'IE avec tous les autres patchs ne foutent pas le bordel avec 4242 apps differentes) quand il faut faire ca avec tous les IE precedents, ca alourdit serieusement.
[^] # Re: Rapide?
Posté par Bastes . Évalué à 2.
[^] # Re: Rapide?
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: Rapide?
Posté par Bastes . Évalué à 3.
Pour rappel : http://blog.seattlepi.nwsource.com/microsoft/archives/141821(...)
Ca c'est ce qui se produit quand une bureaucratie atteint la taille critique où l'essentiel de son activité consiste à tourner en rond autour des problèmes plutôt que de tenter de les résoudre.
Oh, et ne prends pas la peine de répondre en citant ligne par ligne la suite de mails dont celui que j'ai cité fait partie, pour me prouver que c'est la faute de quelques individus et pas du système auquel ils participent.
[^] # Re: Rapide?
Posté par pasBill pasGates . Évalué à 0.
J'ai dit ca ? Non, j'ai meme dit qu'il y avait de la bureaucratie chez MS, simplement pas dans ce processus la.
Ca c'est ce qui se produit quand une bureaucratie atteint la taille critique où l'essentiel de son activité consiste à tourner en rond autour des problèmes plutôt que de tenter de les résoudre.
Justement pas du tout, a se demander si tu as meme lu ces e-mails, il se plaint de problemes techniques(le truc n'est pas utilisable proprement, des choix idiots ont ete fait, ...), cela n'a rien a voir avec de la bureaucratie et tout avec un manque de connection a la realite de l'utilisateur. Les gens ne se tournent pas les pouces, ils font les mauvais choix car ils ne comprennent pas leurs utilisateurs. Ce qui ne veut pas dire qu'il n'y a pas de bureaucratie chez MS, il y en a, mais cet e-mail n'en est pas un exemple.
Oh, et ne prends pas la peine de répondre en citant ligne par ligne la suite de mails dont celui que j'ai cité fait partie, pour me prouver que c'est la faute de quelques individus et pas du système auquel ils participent.
Ah l'habitude de juger avant d'ecouter... C'est drole vu qu'avant meme ton post j'ai moi meme dit qu'il y en avait...
[^] # Re: Rapide?
Posté par Bastes . Évalué à 3.
Et je n'ai pas dit qu'ils se tournaient les pouces, loin de là, une bonne bureaucratie occupe à temps plein beaucoup de gens qui pédalent dans une machine qui ne produit rien d'intéressant. Par exemple : faire des mauvais choix parce qu'ils [ne comprennent / ne s'intéressent pas à] l'utilisateur et ses besoins, faire réaliser ces mauvais choix et se rejeter le blâme quand il vient.
[^] # Re: Rapide?
Posté par pasBill pasGates . Évalué à 1.
1ere reponse (pas Will Poole mais la suivante) : Il reconnait le probleme, dit qu'il faut le corriger et que ca devienne qqe chose a verifier avant chaque release.
2eme reponse : Un gars qui dit qu'il se charge des problemes niveau web
3eme reponse : Le gars dit qu'il n'est pas sur ou sont les limites entre web / autres issues
4eme reponse : Un gars disant qu'il bosse avec microsoft.com pour faciliter la recherche d'updates
6eme reponse (la 5eme est vide) : gars dit qu'il faut coordonner cela globalement vu que cela touche plusieurs equipes
7eme reponse : gars dit qu'il faut enlever marketing de la gestion des fichiers sur le web
8eme reponse : autre gars disant que ce n'est pas uniquement la faute de marketing, et qu'il y a plusieurs trucs a corriger qu'il liste
9eme reponse : gars decide de qui va gerer globalement le truc
Tout cela sur 2 jours, pour plusieurs problemes qui affectent des equipes differentes.
Tu m'expliques ou est la bureaucratie, dans le monde du libre vous utilisez quel truc magique pour coordonner des changements qui affectent plusieurs gros produits ?
Ah oui, vous faites de meme : vous discutez d'abord pour clarifier quel est le probleme, ou il se situe, comment le corriger, et qui va se charger de coordonner la chose... Et vous ne faites pas ca en moins de 2 jours non plus.
[^] # Re: Rapide?
Posté par Victor . Évalué à 2.
Un journal est passé il y a pas longtemps je crois qui donnait un lien vers une étude qui disait que très peu de gens avaient un windows à jour.
[^] # Re: Rapide?
Posté par Zenitram (site web personnel) . Évalué à 3.
Correction : l'ensemble des applis qui n'étaient pas à jour. L'ensemble des applis = Windows + ce que l'utilisateur installe (Windows n'est pas une distrib ;-), c'est juste l'OS + les applis de Microsoft)
Quand à Windows seul (+applis de Microsoft), c'est une autre histoire... Et par défaut, les mise à jour sont automatiques (je viens d'ailleurs de la recevoir cette MAJ critique vers 12h aujourd'hui... Enfin!)
[^] # Re: Rapide?
Posté par totof2000 . Évalué à 5.
Enfin .... Personnellement les mises à jour automatique, je les désactive systématiqueent : j'ai horreur d'avoir un truc qui tombe en panne parce qu'une mise à jour automatique a décidé de s'exécuter au moment ou j'ai le plus besoin de mon ordi. A ce sujet, un truc qui m'agace, c'est cette manie qu'à Windows Update de les réactiver ( tout au moins réactiver le service qui passe son temps à me dire que mon système n'est pas à jour) lorsqu'on fait une mise à jour en manuel.
[^] # Re: Rapide?
Posté par e-t172 (site web personnel) . Évalué à 4.
Je pense qu'il parlait du téléchargement automatique, pas de l'installation automatique.
Par contre si y'a vraiment un truc qui me hérisse le poil, c'est quand Windows fait une mise à jour qui nécéssite de redémarrer le système, il insiste encore et encore et encore (toutes les 5-10 minutes environ) pour demander de redémarrer. Et c'est pas une petite bulle en bas, non non, c'est une fenêtre en plein milieu de l'écran et qui en plus prend le focus (sympa en plein jeu ou lors de la lecture d'une vidéo). Si quelqu'un a un moyen de l'envoyer se faire foutre une bonne fois pour toutes, je suis preneur.
[^] # Re: Rapide?
Posté par pasBill pasGates . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.