Les antivirus vont nous péter à la gueule

hello les gegks…
suite à cette news sur clubic, j’ai fait turbiner mon cerveau (au moins 2 secondes) : les antivirus, en plus de scanner les fichiers exécutables, scripts, etc… vont devoir scanner des images désormais…
déjà que ce sont souvent des gouffres de temps machine (qui a dit Norton ? ), la simple navigation sur le net va prendre 80% du temps CPU !!!
les prochaines versions d’antivirus vont être poilantes à utiliser…

c’était la pensée du jour !

Bah, pour moi, la solution est simple : pas d’anti virus et un syteme a jour. Sachant que les patchs sont toujours diffusés AVANT les exploit et proof-of-concept, et avant l’exploitation des failles (même si le délais diminue de plus en plus).

De reste, notez que le sur le SP2, IE n’est pas concerné par la faille. Cependant, les librairies GDI+ n’étant pas ‘systeme wide’, vous avez peut-être des versions vulnérables des libs utilisées par d’autres applis (genre office). Cela est quand même bien moins risqué, d’une part car il faudrait pour être emmerdé utiliser la dite appli pour ouvrir le jpg foireux (ce qui est peu probable), et d’autre part, parce que si vous êtes malins, vous avez activé le DEP pour tout les programmes, empechant ainsi l’exploitation du trou par buffer overflow.

C’est quoi le DEP?

(non je peux pas faire plus simple)

Data Execution Prévention…

C’est un systeme qui permet d’éviter de différencier les zones de mémoire de données et les zones de code executable, afin d’éviter l’execution de données, qui devraient pas être executées,  vu que c’est des données (les attaques par buffer overflow, les plus courrantes, utilisent des données trop grandes pour forcer leur propre execution).

Le DEP est principalement utilisable en Hardware grace au fameux NX des Athlons 64 (et peut-être des sempron a core Paris ?), mais peux être aussi activé de manière logicielle.

En cas de dépassement de tampon, une exception est levée, et windows ferme le programme/service, mais le systeme n’est pas corrompu par l’agent exterieur.

Par défaut seuls les programmes et services systemes sont surveillés, mais cela peux-être changé : Panneau de conf->Systeme->Avancé->Paramètres de performances, Onglet “Prévention de l’éxecution des données”.

Par contre, attention, un certains nombres de programmes, manifestement codés un peu au mépris des regles, plantent avec le DEP actif, la solution est de le mettre dans la whitelist. Par contre je déconseilles toutefois grandement la mise en whitelist d’une application qui a porte ouverte sur le net.

Merci : )

(je pouvais pas faire plus simple non plus)

L’activation de la DEP doit, je suppose, pesé sur les perfomance générale du système. Si c’est le cas, peux tu nous dire dans quelle mesure?

Comment je vois si mon athlounet a activé le DEP ?

[quote]Panneau de conf->Systeme->Avancé->Paramètres de performances, Onglet “Prévention de l’éxecution des données”[/quote] Panneau de conf->Systeme->Avancé->Paramètres de performances, Onglet “Prévention de l’éxecution des données” semble indiquer si ton PC prend en charge ou non la prévention matérielle de l’exécution des données.

edit: orthographe

Ce message a été édité par Lemm le 30/09/2004

Bon, Lemm a répondu a ma place.

Pour ce qui est des performances, je n’en ai pas la moindre idée. J’avoue ne pas avoir fait de tests dans ce sens.

Le fait est que sur mon Athlon TB 1GHz (en logiciel, donc), je ne note pas d’impact notable dans une utilisation courrante. Je pense d’ailleurs que s’il y a impact en logiciel, avec le support materiel, l’impact doit être minime, voire peut-être même nul ou quasi nul.

Au pire, vous pouvez toujours tester par vous mêmes, et pourquoi pas désactiver le DEP pour les applis nécessitant performances. Toutefois, je déconseilles encore la désactivation de la chose pour toutes les applis ayant une ouverture sur l’exterieur ( applis ‘a risque’ : Navigateurs, clients mail, lecteurs audio…).