Avis aux amateurs d'XSS, Eco 89 relate la découverte d'une « fonctionnalité » du site d'Apple permettant d'afficher une image et les bribes de texte de son choix sur la page d'Itunes. Le site international a été corrigé mais pas la version française...
Source http://eco.rue89.com/2009/11/04/aujourdhui-cest-pub-ouverte-(...)
Capture d'écran avec une pub pour Windows 7: http://i.imgur.com/OfdDC.png
Rue 89 fait la promotion de ses T-shirts: http://www.apple.com/fr/itunes/affiliates/download/?artistNa(...)
Un test rapide avec une image bien connue par ici: http://www.apple.com/fr/itunes/affiliates/download/?artistNa(...)
La République Populaire de Chine impose un logiciel de contrôle d'accès défaillant
Au premier juillet 2009 et conformément à une directive du 19 Mai 2009 émise par le Ministère de l'industrie, de l'information et des technologies (MIIT), tout ordinateur vendu en Chine devra être livré avec 绿坝·花季护航 (la muraille verte, l'escorteur de mineurs) un logiciel de contrôle d'accès dont l'objectif officiel est de protéger les mineurs de la pornographie toujours réprimée en Chine. Il pourra être pré-installé ou livré sur CD-ROM. Les fabricants devront rapporter aux autorités le nombre de machines distribuées avec le logiciel.
Le 11 juin 2009, trois chercheurs de l'université du Michigan (Scott Wolchok, Randy Yao et J. Alex Halderman) ont révélé deux failles importantes (dépassement de tampon) affectant 绿坝·花季护航. Une simple page Web fait ainsi planter un navigateur (ou un onglet). Des shellcodes plus raffinés sont déjà disponibles : exploit .NET pour Internet Explorer (contourne les contre-mesures DEP et ASLR de Windows).
绿坝·花季护航 (prononcez Lubà·Huajì Hùháng) utilise OpenCV (bibliothèque de traitement d'image libre, développée à la base par Intel, spécialisée dans le traitement d'image temps réel) en violation de sa licence BSD puisque sans mention du copyright. Il utilise en outre des données issues de CyberSitter un concurrent développé par la société Solid Oak.
Ce projet formalisé officiellement en décembre 2008 sous l'impulsion des dirigeants chinois est financé par le MIIT pour environ six millions d'euros (41,7 millions de yuan). Testé depuis octobre 2008 dans plusieurs grandes métropoles chinoises, il a été réalisé par la société Jinhui en collaboration avec une université pékinoise qui a déjà développé des produits similaires pour l'armée populaire de libération.
NdM : Selon l'article Wikipédia anglophone, 绿坝·花季护航 (Green Dam) est inefficace. Utiliser Mac OS X et Linux suffit pour contourner le filtrage par exemple. Green Dam n'est pas non plus capable de détecter un contenu pornographique pour des peaux de couleur rouge ou noire. De plus, plusieurs failles de sécurité peuvent mener à une attaque massive (botnet ou attaque ciblée) des ordinateurs équipés de Green Dam.
Le 11 juin 2009, trois chercheurs de l'université du Michigan (Scott Wolchok, Randy Yao et J. Alex Halderman) ont révélé deux failles importantes (dépassement de tampon) affectant 绿坝·花季护航. Une simple page Web fait ainsi planter un navigateur (ou un onglet). Des shellcodes plus raffinés sont déjà disponibles : exploit .NET pour Internet Explorer (contourne les contre-mesures DEP et ASLR de Windows).
绿坝·花季护航 (prononcez Lubà·Huajì Hùháng) utilise OpenCV (bibliothèque de traitement d'image libre, développée à la base par Intel, spécialisée dans le traitement d'image temps réel) en violation de sa licence BSD puisque sans mention du copyright. Il utilise en outre des données issues de CyberSitter un concurrent développé par la société Solid Oak.
Ce projet formalisé officiellement en décembre 2008 sous l'impulsion des dirigeants chinois est financé par le MIIT pour environ six millions d'euros (41,7 millions de yuan). Testé depuis octobre 2008 dans plusieurs grandes métropoles chinoises, il a été réalisé par la société Jinhui en collaboration avec une université pékinoise qui a déjà développé des produits similaires pour l'armée populaire de libération.
NdM : Selon l'article Wikipédia anglophone, 绿坝·花季护航 (Green Dam) est inefficace. Utiliser Mac OS X et Linux suffit pour contourner le filtrage par exemple. Green Dam n'est pas non plus capable de détecter un contenu pornographique pour des peaux de couleur rouge ou noire. De plus, plusieurs failles de sécurité peuvent mener à une attaque massive (botnet ou attaque ciblée) des ordinateurs équipés de Green Dam.