Microsoft: "we take security very seriously"

Tiens, en regardant sur Secunia :
Microsoft Internet Explorer SP2 Multiple Vulnerabilities
Critical: Extremely critical (ca permet l’execution a distance de code)
Solution Status: Unpatched
Release Date: 2004-10-20

Bon, ca va bientot faire trois mois qu’une vulnerabilite critique non patche a ete annoncee, mais sinon, ils prennent la securite tres au serieux chez Microsoft :stuck_out_tongue:

C’est terrible, hein? Mais de toutes façons, qui utilise encore IE ici? Bon allez, j’arrête de troller en attendant patiemment la réponse de GloP…

[quote name=‘LeBaronNoir’ date=’ 9 Jan 2005, 22:09’]C’est terrible, hein? Mais de toutes façons, qui utilise encore IE ici? Bon allez, j’arrête de troller en attendant patiemment la réponse de GloP…
[right][post=“320629”]<{POST_SNAPBACK}>[/post][/right][/quote]

j pige pas ta reponse, on verra ce qu il repondra mais a mon avis glop c est pas le porte parole de microsoft, et le fait d y bosser ne l oblige pas a justifier les faits et gestes de la boite.

meme si en effet la non correction de faille de ce style est franchement inexcusable.

Moi, et ça n’est pas prêt de changer. Maxthon powah. Mais vivement que l’équipe de IE7 rattrape le retard des autres (CSS, .png…).

Oui, mais je suis d’humeur taquine ce soir et GloP a une si belle tendance à courir à grand coups de posts fleuve à la moindre attaque contre MS. Enfin, c’est sûr que si la faille s’avère être réellement dangereuse, c’est tout de même assez scandaleux de ne pas la combler au bout de trois mois.

[quote name=‹ IDoine › date=’ 9 Jan 2005, 23:14’]Moi, et ça n’est pas prêt de changer. Maxthon powah. Mais vivement que l’équipe de IE7 rattrape le retard des autres (CSS, .png…).
[right][post=« 320648 »]<{POST_SNAPBACK}>[/post][/right][/quote]
CSS je comprend, mais PNG? :stuck_out_tongue:

Il me semble que IE gère les PNG, mais pas certains trucs touchant à la transparence. Enfin bref, support partiel des images png quoi.

[quote name=‹ AkyRhO › date=’ 11 Jan 2005, 13:23’]CSS je comprend, mais PNG?  :stuck_out_tongue:
[right][post=« 321184 »]<{POST_SNAPBACK}>[/post][/right][/quote]

IE ne gere pas la transparence des png (sauf en 8 bit) et le png transparent c’est juste mille fois plus puissant que le gif. on peut faire de la transparence progressive et tout.

Encore un truc supra facile a implenter et qu’on attends toujours.

Oui :stuck_out_tongue:

quand je vois a quelle vitesse les virusmen se jettent sur les failles de sécurité…

soit celle-ci est une faille minime, soit elle est supra dure à exploiter

[quote name=‘titibgosse’ date=’ 12 Jan 2005, 07:25’]quand je vois a quelle vitesse les virusmen se jettent sur les failles de sécurité…

soit celle-ci est une faille minime, soit elle est supra dure à exploiter
[right][post=“321618”]<{POST_SNAPBACK}>[/post][/right][/quote]
La faille est assez grave et permet l’execution de code sur la machine du client. Pour l’exploitation, un exploit public est disponible.
Sinon, certains sites web exploitent cette faille. Si il n’y a pas eu pour l’instant de virus a grande echelle exploitant cette faille, c’est surtout par ce qu’il faut mettre les pages exploitant la faille sur un serveur web que les gens vont aller visiter. Et ca, un virus ne peut pas le faire tout seul, a moins d’exploiter egalement une faillle sur un serveur web ou de contaminer les pages web qui sont sur le disque local.

Ils ont mis quelques correctifs sur Windows Update pour ceux qui sont intéressés.

[quote name=‘LeBaronNoir’ date=’ 9 Jan 2005, 22:09’]C’est terrible, hein? Mais de toutes façons, qui utilise encore IE ici? Bon allez, j’arrête de troller en attendant patiemment la réponse de GloP…
[right][post=“320629”]<{POST_SNAPBACK}>[/post][/right][/quote]

Moi.

Glop a pas donné son avis, mais j’ai un « appeau à Glop » tout neuf pour le faire venir à répondre :

« Au moins dans le mode de développement libre on corrige les failles rapidement après leur découverte »…

Comptez jusqu’à 20 et faites « actualiser la page » :stuck_out_tongue:

[quote name=‹ bluelambda › date=’ 15 Jan 2005, 14:54’]Glop a pas donné son avis, mais j’ai un « appeau à Glop » tout neuf pour le faire venir à répondre :

« Au moins dans le mode de développement libre on corrige les failles rapidement après leur découverte »…

Comptez jusqu’à 20 et faites « actualiser la page » :stuck_out_tongue:
[right][post=« 322681 »]<{POST_SNAPBACK}>[/post][/right][/quote]Bof, c’est une phrase en l’air, si tu peux prouver qu’une faille dans Linux, équivalente à celle-ci, a été trouvée et corrigée, ça sera irréfutable et il n’y aura pas de débat. Là ça reste du gros troll, sans vouloir t’offenser.

Ben ecoute, je sais pas si c’est vrai ou pas mais en tout cas je me suis fait avoir en achetant cet appeau à Glop… tsss de la camelote.

Après je peux toujours te prouver que c’est rapidement corrigé (je prend une faille au pif rapidement corrigée et voilà). Mais tu peux toujous me dire « oui mais peut être qu’il existe une autre faille découverte qui a mis plus de temps » donc c’est un débat qui finit plus et j’ai pas envie de m’y lancer :stuck_out_tongue:

Ce qu’il y a déjà c’est que dès qu’une faille est découverte dans le kernel Linux, en parallèle tu vois des propositions de correctifs de la part de la communauté, et puis après il sort un patch permettant de combler la faille, ce patch combine les meilleurs bouts de chaque proposition, où la meilleure correction.
Sachant que quelques milliers de personnes se penchent sur la correction de ces failles dans le kernel Linux, contre une centaine tout au plus pour un kernel fermé, on peut penser que c’est plus rapide, après j’en sais rien du tout, faudrai que quelqu’un nous sorte un site où on voit les délai de correction des failles critiques coté Windows et coté Linux ce serait plus illustratif.

Bon, je vais jetter mon appeau parce qu’il marche pas.

mouarf :stuck_out_tongue:

Alors moi je sors mon appeau aux pro-linuxiens : j’ai un parc de 40 000 machines clientes, si je met que des linux, ca va être folklo de les patcher… enfin surtout de recompiler le kernel pour ces 40 000 machines. Youpiiiiii

Patcher les sources, c’est pas tout, derrière faut patcher les machines, et là malheureusement, à ma connaissance, y’a rien de vraiment pratique et efficace “je patch sans les mains” sous linux.

Bon allez… j’suis un peu de mauvaise foi, j’admet, mais faut arreter.

Dis, t’as deja utilise linux plus de 5 minutes avant de raconter ces conneries ? Sur la plupars des distrib, le kernel est fourni dans un package qui s’update de la meme facon que n’importe quel autre logiciel, c’est a dire avec une commande a taper en root ou quelques clics et un programme qui se charge de tout telecharger et installer automatiquement. Y a pas de trucs a aller patcher a la main sur chaque machine ni de kernel a recompiler 40 000 fois.

Je sais pas ou est ce que tu as vu qu’il fallait patcher les sources a la main. Et puis meme si tu veux le faire pour rajouter des trucs un peu exotiques (ce que 99% des gens n’ont pas besoin de faire, le kernel fourni par la distrib convient la plupars du temps) ca ne pose aucun probleme, et ca s’automatise tres bien. Tu compiles le kernel sur ta machine de test (entre 5 secondes et X heures suivant les modifs que tu veux faire + temps de compile), tu crees le package (10 secondes), tu testes pour verifier qu’il n’y a pas de probleme, et si c’est bon, t’envois le fichier automatiquement sur toutes les machines avec un script de 4 lignes qui se charge d’installer le nouveau kernel et rebooter sur chaque machine, les unes apres les autres (10 ou 20 secondes par machine suivant la vitesse de ton reseau + temps de boot). Franchement y a tout ce qu’il faut pour automatiser tout ca (et bien plus que sous Windows d’ailleurs), et faudrait vraiment etre un cretin pour aller compiler a la main un kernel sur 40 000 machines. Je gere un un groupe de machines identiques sous debian, j’ai fait des updates du kernel pas mal de fois, et j’ai jamais eu a me deplacer ou a faire des trucs manuellement a la suite sur chaque machine.

[quote]Bon allez… j’suis un peu de mauvaise foi, j’admet, mais faut arreter.
[right][post=“324364”]<{POST_SNAPBACK}>[/post][/right][/quote]
Oui, tu devrais arreter.