Encore 4 nouveaux trous de sécurité graves dans Internet Explorer (non corrigés, y compris dans le SP2) :
http://secunia.com/advisories/12048/
Bon, et puisqu’il en faut aussi pour tout le monde, en voici un supplementaire pour Outlook Express, et un pour Windows Media Player.
Ha et n’oublions pas Word et MSN Messenger (et peu etre d’autres programmes qui utilisent cette meme fonctionnalité de Windows) qui sont vulnerables à la meme faille que Mozilla sur Windows XP/2000 corrigée la semaine dernière
je vais me prendre un combo machine a ecrire-calculatrice au moins j’aurais pas de failles de securités !!!
puis pour communiquer avec le reste du monde, y a la poste !!!
non je ne suis pas egris !!!
[quote](non corrigés, y compris dans le SP2)[/quote]Ils ont sorti le SP2 et on m’a pas prevenu? T’en as de la chance…
Et ils me font marrer avec leur “Extremly Critical” pour les 4 alors qu’il y en a qu’une qui est potentiellement dangereuse, tu les a matte? Serieux quoi, des bugs, surement, des trucs pas classe peut etre, mais des exploits de securite “extremement dangereux” faut rester serieux deux minutes. Le “shell:” est un exploit dangereux, a part potentiellement la 3 dans la liste aucun n’est proche d’etre un danger. On peut ecrire exactement la meme chose sur le meme ton avec des trucs debiles, faut savoir trier. Un exemple debile:
Malicious sites can trick users into performing actions like click on an approval dialog box without their knowledge, by changing the title and the description of the application. An example has been provided, which allows sites to install an activex control with full local administrator privileges. This security risk is rated extremly critical.
Hop je viens de decrire l’enoooooorme trou de secu qui consiste a demande a l’utilisateur dans la popup de securite d’install activex si il veut installer l’activex avec le titre "cliques sur ‘oui’ et vous aurez un gros sexe’ et si tu clique sur oui tu as un gros spyware/virus. J’en fais 50 a la minute des advisory de ce genre…
De 1 a 4:
- aucun interet si la zone d’execution reste bien “internet”, sans moyen de bypasser ca on reste avec un exploit “potentiel”, du genre si j’installe un virus en Administrateur, j’aurais le “potentiel” de faire un exploit qui reboote ma machine.
- necessite le trou de secu shell: pour etre vraiment dangereux
On est pas sur la case “vulnerabilite compte double” huhu…
- La seule potentiellement dangereuse, manque cruellement de details pour savoir si oui ou non on peut vraiment injecter ce qu’on veut et s’executer avec les droits “locaux” sans etre sandboxed. Vraiment a voir avec le SP2 qui theoriquemente empeche tout script avec les privileges locaux sans authorisation explicite.
- bouarf
on peut placer une fenetre sans bordure devant une autre fenetre et choper les clicks… sauf que ca marche pas avec les fenetres modales qui sont les interessantes a modifier pour faire installer un truc activex et autre. En gros tu peux changer la tete du site sur lequel tu es si tu arrive a faire du script injection dessus, ce qui veut dire que tu own le site de tt facon…
Ensuite, celle de outlook express rigolage aussi Moi quand je le teste j’ai “permission denied, do you want to continue executing script on this page?”. Et quand bien meme, tu as pas acces a windows.document et les tags objet sont elimines a part faire chier l’utilisateur avec des popups javascript dans son mail tu iras pas loin. La encore ou est l’exploit? Ils ont pas les specs, qui a dit “tout script dans les mails sera supprime”? Si c’est MS, c’est un bug, encore faut il prouver que c’est un risque de secu maintenant.
Finissons par la derniere celle de media player. Pour l’exploiter il faut avoir convaincu un user de sauver un fichier asx sur sa machine et de cliquer dessus. Qui a deja ici douwnloade un fichier asx sur le net? Certes il y a pas besoin de double cliquer sur le fichier pour causer l’execution de javascript mais si tu as mis un fichier ou tu veux sur l’ordinateur que tu attaques, la securite est deja gravement compromise quel que soit le scenario. Si tu sauve un fichier html, la meme chose arrive dans la preview et ca choque personne. De plus, le SP2 interdit par defaut tout javascript dans la zone locale.
Y a suffisament d’exploits vraiment critiques a exploiter pour pas faire semblant d’en trouver toutes les 10 minutes avec des pseudos scenarios completement inexploitables. Suffit pas de trouver un bug et de l’appeller “extremement dangereux”. Comme d’hab quand on lit un exploit report il faut bien le lire et se demander “le scenario decrit ici s’applique il a la majorite des gens? que se passe il exactement si ce scenario est mis en jeu? est ce que je perd des donnees? est ce que communique des donnees critiques a quelqu’un d’autre?” Faut saluer l’effort et ils trouvent des bugs super interessants, et qui sont potentiellement un premier pas vers un exploit suffisament dangereux pour etre critique, donc qui doivent etre corriges au plus vite, mais en l’etat faut garder son calme, tout le monde peut pas trouver le buffer overrun de sasser tout les jours
Ce message a été édité par GloP le 14/07/2004
Ca va sortir un jour ?
Koubiak
[quote]Je pense qu’il faisait implicitement référence au SP2 RC2, qui corrigeait notamment la faille exploitée par Download.jcet (ce que Microsoft n’avait pas manqué de mentionner) alors que ça n’est pas le cas ici[/quote]Oui, c’etait con a mon avis de le mettre autant en avant. Le dire ok, le fouttre en gros comme ils ont fait, c’est debile, on fait pas de la pub de ce genre avec un produit qui n’est pas sorti et qui change encore.
koubiak: oui, il arrive, patience, il reste vraiment pas grand chose a finir now…
Ce message a été édité par GloP le 14/07/2004
c’est pour ça que ca downloade des conneries depuis tout à l’heure !
très bien fait en passant le nouveau windows update… ma machine peut enfin télécharger les patch et les installer sans me demander mon avis ! une fois devant sa machine, il reste plus qu’à rebooter quand c’est demander (d’ailleurs, il le demande assez lourdement: totues les 5 minutes PAF !!! une fenêtre qui s’ouvre… au moins on est à jour
[quote]Apres on peut combiner ca avec d’autres vulnerabilites qui permettent d’executer un programme qui existe sur le disque, et on se retrouve avec des gens qui telechargent des programmes et les executent en pensant telecharger un simple pdf.[/quote]Et c’est celle la qui est extremement critique. Si tu peux faire ca, tu own completement la box, pas besoin d’autre vulnerabilite. Si tu as ca quel est l’interet de n’importe quelle autre vulnerabilite? Pas la peine de “faire croire a l’utilisateur qu’il telecharge un pdf” pour lui faire downloader un fichier quand tu peux ouvrir un shell admin sur sa machine, faire un ftp sur un serveur, faire un format c: ou autre… D’ailleur le truc dont tu parles ou le nom du fichier est change a la volee a ete corrige depuis longtemps, et est bien plus grave, meme si globablement innofensif que n’importe laquelle des vulnerabilites listees dans ton premier message. Faut pas tout melanger, des trucs critiques de hier, des trucs graves de hiers, des trucs anodins d’aujourd’hui et dire “ouai les trucs anodins ils sont critiques parceque tu peux les combiner avec des trucs crtitiques de hier”.
Oui on peut causer plus de degats et parfois elever une vulnerabilite qui peut paraitre anodine a une vulnerabilite critique en etant specialement malin ou en combinant plusieurs attaques. Il y a quelques annees personne ne croyait parmis les specialistes qu’un integer overflow etait exploitable pour autre chose qu’un crash. Pourtant depuis quelques mois c’est devenu une des attaques les plus a la mode pour un own complet… Du code qui aurait ete vote “parfait” il y a 5 ans, est considere “super dangereux” aujourd’hui, il y a qu’a lire “writing secure code” deuxieme edition et le comparer avec la premiere edition… Mais faut rester lucide aussi, tu peux pas considerer tout ce qui se passe sur ta machine comme “extremement dangereux” ou “critique” sinon ton software il fait plus rien, la ligne elle se trace au moment ou il est domontre qu’un vecteur d’attaque est viable et qu’il faut s’en proteger.
La securite c’est pas un truc ponctuel c’est toute une ligne de defense en plusieurs couches. 5 trucs anodins, et t’as toujours 4 couches qui font que meme combines ces 5 trucs vont rester anodins. Tu pourras jamais corriger toutes les failles et tout les vecteurs d’attaques, c’est en ayant une defense a couche que tu te protege. Un integer overflow qui etait considere sur il y a 5 ans qui est soudainement exploitable partout? Pas grave, meme exploite il est bloque par la couche suivante. Ca t’empeche pas de corriger tout tes integers overflow a partir de la… et il faut certainement le faire, mais c’est justement la qu’ils se font pas noter “critiques”. Encore une fois si tu met tout “critique” tu perd tout jugement de danger reel et actuel pour sombrer dans la paranoia ou le marketting a base de FUD pour des produits concurents…