Après 15 années d’existence, le forum historique de Framasoft, ferme ses portes. Pour les nostalgiques et les curieux, il reste toujours possible de consulter les discussions mais c’est maintenant le forum Framacolibri qui prend la relève. Si vous avez des questions, on se retrouve là-bas… ;)

ForumsDiscussions

 » La philosophie du libre » L'actualité du libre

Les logiciels libres
La philosophie du libre
Autour du réseau Framasoft

Nous sommes le Jeu 26 Juin, 2025 21:29
Supprimer les cookies

Attention faille dangereuse sur firefox

Fil continu d'informations sur tout ce qui touche au libre, aux nouveautés et aux mises à jour majeures de logiciels libres. Merci de présenter toute news qui pointe vers un lien et de ne pas abuser des citations.

Dim 17 Avr, 2005 08:13

Une faille dangereuse(critique) a été détectée sur firefox le 16/04/2005:
http://www.frsirt.com/bulletins/1070

Et l'exploit est sorti au grand public le même jour ...!
http://www.frsirt.com/exploits/20050416.MFSA200537.php

Alors que dans le cas de IE, il faut quelques jours pour répandre cette dernière information..

N'y a t'il pas là un problème entre l'information, et le temps de réaction, et, même, vu la rapidité de diffusion de l'exploit (accessible à tout le monde, avec une connaissance minime!) un besoin de plomber cet excellent navigateur ?

Espérons qu'il y aura de la réactivité chez mozilla pour répondre à ce genre de problème..


Je veux garder mon beau navigateur moé!!!
Philippe

Messages : 353

Dim 17 Avr, 2005 11:02

Philippe a écrit:Espérons qu'il y aura de la réactivité chez mozilla pour répondre à ce genre de problème..

Ben voilà:
Firefox 1.0.3 la version fini est sorti:
http://www.mozilla.org/products/firefox/all.html
Tout le monde ne peut pas avoir une telle rapidité de réaction...
italien

Messages : 3

Dim 17 Avr, 2005 12:13

C'est dingue, je viens de damander à ma distribution Gentoo, ils ont déjà mis à jour leur base de données de logiciels (portage) avec Firefox 1.0.3.
Moi je dis, le libre c'est beau :)
birin

Messages : 600
Géo : Gironde

Dim 17 Avr, 2005 16:13

Bonjour,

J'y connais pas grand chose en sécurité (vous me corrigerez) :
Elle est quand même énorme cette faille, on peut pas mal ruiner un windows avec ça.

Il parait que c'est utilisable par un quidam.
c'est courant ?

Et sous linux ? :
ya t-il un risque ?

On peut creer un .sh mais il ne sera pas executable.
il est possible au script malicieu de rendre le script créé executable ?

(en tout cas, je viens de tester le script tel que donné sur le lien du premier post, et ça ne fait scritement rien ni sous win ni sous linux, le script est arreté a la ligne 21, volontaire ?)
___seb

Messages : 14

Dim 17 Avr, 2005 17:52

___seb a écrit:Bonjour,
Il parait que c'est utilisable par un quidam.
c'est courant ?


Courant: non, heureusement :)
Normal: oui..

Aucun logiciel ne peut se prévaloir d'être blindé au niveau sécurité.
Les programmeurs ne peuvent pas prévoir tous les cas, et il est normal que des failles soient découvertes, critiques ou pas.

C'est là qu'intervient la réactivité de l'éditeur.

Là je suis impressionné, 1 jour pour corriger!!!
A comparer à d'autres qui sortiront (si ils le veulent bien) le correctif le premier mardi de chaque mois.

Attention, je ne critique pas du tout le fait que les produits de billou soient buggés. Encore une fois c'est NORMAL. Mais laisser des failles comme DCOM pendant des semaines ouvertes sans possibilité de correction, là c'est criticable.

___seb a écrit:Et sous linux ? :
ya t-il un risque ?

On peut creer un .sh mais il ne sera pas executable.
il est possible au script malicieu de rendre le script créé executable ?


un .sh ??? les extensions ne servent à rien sous unix(linux), seul le bit 'x' sert à savoir si un fichier est exécutable. il suffit donc d'exécuter aussi "chmod" de la même manière pour avoir son petit troyan tout mignon :)

Mais sous nunux, normalement l'utilisateur n'est pas root.
donc la possibilité d'infecter le système est minime.

___seb a écrit:(en tout cas, je viens de tester le script tel que donné sur le lien du premier post, et ça ne fait scritement rien ni sous win ni sous linux, le script est arreté a la ligne 21, volontaire ?)


Je n'ai pas testé le script mais il est courant que les diffusions d'exploit laissent un petit bug de façon à ce que l'utilisateur de base ne puisse pas l'utiliser tel que. Ce petit bug est facilement éliminable par tous les scripts kiddies a condition qu'ils aient des connaissances minimales.

Pour en revenir au sujet principal, moi je dis bravo à la communauté Mozilla, et vive le libre!
Philippe

Messages : 353

Dim 17 Avr, 2005 20:41

merci de ta réponse. :wink:

Je me rend compte que je me suis mal exprimé.

___seb a écrit:
Bonjour,
Il parait que c'est utilisable par un quidam.
c'est courant ?

Philippe à répondu :
Courant: non, heureusement Smile
Normal: oui..


Je sais que les softs ne sont jamais parfaits, en fait ce que je voulais demander est si il est courant de voir des_failles_exploitables_très_facilement_(par_quelqu'un_qui_n'est_pas_un_crack_en programmation,_protocoles_réseaux,_etc).

--

___seb a écrit:
Et sous linux ? :
ya t-il un risque ?
On peut creer un .sh mais il ne sera pas executable.
il est possible au script malicieu de rendre le script créé executable ?

philippe à répondu
un .sh ??? les extensions ne servent à rien sous unix(linux), seul le bit 'x' sert à savoir si un fichier est exécutable. il suffit donc d'exécuter aussi "chmod" de la même manière pour avoir son petit troyan tout mignon

Meaculpa pour les extensions, je le sais, c'était pour traduire .bat. c bête.
Je lance jamais firefox en root. (quel intérêt?).
Concrêtement je me demandais, si le script pouvait mettre le chmod +x et lancer le script... Juste par curiosité...
___seb

Messages : 14

Dim 17 Avr, 2005 21:03

Non, il peut pas le faire ... :wink:
Ashendorus

Dim 17 Avr, 2005 21:19

___seb a écrit:merci de ta réponse. :wink:

Je me rend compte que je me suis mal exprimé.

Je sais que les softs ne sont jamais parfaits, en fait ce que je voulais demander est si il est courant de voir des_failles_exploitables_très_facilement_(par_quelqu'un_qui_n'est_pas_un_crack_en programmation,_protocoles_réseaux,_etc).


oui.
Il suffit d'être un petit peu branché vers la sécurité pour savoir où trouver les failles, et il y'en a partout.
Les scripts kiddies sont carrément sur des forums qui donnent des "0days" (traduire: des failles qui viennent juste d'être découvertes).
Les exploiter est une autre paire de manche.
Si l'"exploit" n'est pas divulgué, les imbéciles heureux qui les lisent sont incapables de faire quoi que ce soit..
Le problème est: Quand la façon de pirater est diffusée.
Là, tout le monde est au courant, et peut l'exploiter avec un minimum de connaissances.

C'est pour celà que j'ai écrit l'avertissement précédent.
L' "exploit" était sorti quelques minutes aprés la divulgation de la faille.

Et heureusement quelques heures aprés la communauté Mozilla a répondu, sacré réactivité!!!!

___seb a écrit:Concrêtement je me demandais, si le script pouvait mettre le chmod +x et lancer le script... Juste par curiosité...

oui , a partir du moment ou on peut executer un programme quelconque on peut faire un "chmod +x machin".
mais si ce n'est pas root qui l'exécute (ie: tu es connecté comme simple utiliateur) tu ne risques pas de pourrir le système d'exploitation.
Philippe

Messages : 353

Dim 17 Avr, 2005 21:26

Ashendorus a écrit:Non, il peut pas le faire ... :wink:

Encore un qui croit ce qu'on lui dit...
Faire un "chmod" n'est pas interdit, et même c'est une des base d'Unix.
Sauf que: un utilisateur peut trés bien utiliser "chmod" mais il ne peut pas aller au delà de ses droits.

Merci de bien vouloir arrêter de dire des conneries...
Philippe

Messages : 353

Jeu 21 Avr, 2005 21:58

oki merci pour les infos, je me coucherais moins ignorant :wink:
___seb

Messages : 14
Publier une réponse

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Traduction réalisée par Maël Soucaze © 2010 phpBB.fr