Mauvaise nouvelle, le patch pour les version 5.01 à 6.0 (et la version 6.0 pour 2003), ne patche rien à part de l’air. Pour ceux qui ont suivi, il s agit du MS Security Bulletin MS03-032…
[quote]bah
, c’est pas normal ce truc , le script c’est pas du java script
??? dans ce cas , c’est pas la faut de MS , puisque il y a
plus de java ds XP [/quote]pas pareil
javascript = language wzb côté client, dans le browser. norme ecmascript
java = language serveur/appli de sun
c’est le support de java qui n’est plus implémenté dans xp
Ha ouai joli trou. Cela dit il suffit de lire la page. Ils disent “4. This was sent to the manufacturer quite some time prior to this going out. Surprisingly no immediate acknowledgement“ et que c’est pour ca qu’ils releasent le truc sans attendre. C’est faux puisque sur la page on lit: “Subsequent to issuing this security bulletin, Microsoft received reports that the patch provided with this bulletin does not properly correct the Object Type Vulnerability (CAN-2002-0532). Microsoft is investigating these reports and will re-issue this bulletin with an updated patch that corrects these problems.“. Suffit d’appuyer sur le petit + a cote de FAQ.
javascript = language wzb côté client, dans le browser. norme ecmascript
java = language serveur/appli de sun
c’est le support de java qui n’est plus implémenté dans xp[/quote]
Le javascript d’Internet Explorer est pas vraiment normalisé ECMAScript (document.all.*)
même s’il supporte a peu près le DOM.
Java s’exécute aussi sur les postes clients.
En gros, la news dit qu’il est possible d’exécuter du code même si l’interprétation des scripts est désactivée.
Et ca laisse des traces dans le pici ?
Parce que c’est bien drole mais bon
Oui, on sait tous que Microsoft fait ce qu’il veut et comme 90% des pc sont equipés Windows, 90% des hackers attaquent ce systeme, et que donc ca fout une sacre merde.
[quote]Recommandations: désactiver l active scripting ou (le plus marrant) désinstaller Internet Explorer.[/quote]Et après l’apprenti-geek-débutant, il le fait comment son windows update sans devoir se faire ch*** à activer/désactiver l’active scripting ???
Déjà la majorité des utilisateurs ne patchent pas, si en +, il faut faire une manip’ supplémentaire, ce n’est pas gagné.
Pour l’instant il semblerait qu’il y ait hypothetiquement un seul exploit de ce trou. Un message email qui recupererait un executable du nom de “drg.exe” qui installe “surferbar.dll” qui est une barre suplementaire ala “google bar” qui rajoute des liens vers des sites de cul. Donc mefiez vous en attendant que MS se decide a sortir un patch qui marche ce qui devrait arriver je pense (perso hein je m’engage a rien) mercredi qui est en general le MS patch day.
Je cite un analyste qui est clairement dans le vrai sur le sujet au passage…
“Microsoft should be ashamed. This is a major embarrassment,” said Richard Smith, an independent security analyst based in Boston.
“They need to go back and look at how this slip-up occurred. […] when the same problems keep occurring over and over, that’s a management issue,” he said.
Comme dit dans la news et si bien demontré par Glop ca peut etre solidement ch*** Cette saloperie de toolbar est appelé Junksurf ou encore ici pour rigoler un peu plus.
On attends demain pour en savoir plus… Ce message a été édité par Oli4 le 09/09/2003
javascript = language wzb côté client, dans le browser. norme ecmascript
java = language serveur/appli de sun
c’est le support de java qui n’est plus implémenté dans xp[/quote]
Le javascript d’Internet Explorer est pas vraiment normalisé ECMAScript (document.all.*)
même s’il supporte a peu près le DOM.
Java s’exécute aussi sur les postes clients.
En gros, la news dit qu’il est possible d’exécuter du code même si l’interprétation des scripts est désactivée.[/quote] ouais je sais mais si je commence à partir dans l’explication du DOM et comment que c’est chiant d’en avoir 3 tout ça pour expliquer la diff entre java et javascript et jscript ça risque d’être dur pour la personne qui connaissait pas la différence entre java et javascript
nan nan, la mise à jour, c’est pas une mise à jour du patch, c’est la mise à jour de la page, pour dire :
V1.3 (September 8, 2003): Added information regarding reports that the patch provided does not properly correct the Object Type Vulnerability (CAN-2002-0532)
traduction : notre patch ne corrige rien, désolé, le fautif sera jeté au cachot
[quote]VITE, TOUS SOUS NUNUX…[/quote]oh que c’est penible ce genre de commentaire…[/quote]C’est peut-etre pas du 1er degré …
Franchement les mecs qui défendent microsoft commencent à etre plus irritables et plus pénibles que les pro linux qui critiquent microsoft !![/quote]Quelqu’un a defendu MS dans ce thread? Faut me dire ou que je rale un coup parceque sur ce coup la ils le meritent pas vraiment…
bon, je voulais repondre que vous zaviez qu’a utiliser Mozilla firebird ou Mozilla… et … pas possible car votre systeme d’editeur HTML a la con n’accepte que Internet Explorer (faut pas deconner, avec cette news faudrait quand meme un champ HTML standard et pas ce machin !).
Firebird c est le nouveau browser ultra rapide fait par les gars de Mozilla.
Mozilla (1.4), c’est le moteur qu’on trouvait dans netscape et qui a maintenant pris vie par lui meme. Mozilla est super pratique, gestion des mots de passe encryptés en local, pas comme IE … blocage des pop ups, blocage des serveurs hebergeant les serveurs de pubs (genial pour se promener sur gamespot comme si on payait !).
En plus, par defaut, il n’y a pas de Flash installé, donc c’est vraiment le browser tranquillou pour surfer sans emmerdements !