Faille ActiveX

Le
Bruno S
Bonjour à tous

Donc une vulnérabilité dans un ActiveX a été découverte et serait déjà
utilisée, source (en anglais) :
http://www.microsoft.com/technet/security/advisory/972890.mspx

Pas encore de patch mais une solution de contournement :
http://support.microsoft.com/kb/972890

La signalisation de cette faille date d'avant-hier, je suis surpris
qu'il n'y ai pas eu, sur ce forum, de message la signalant. Ou alors mon
lecteur de news ne voit pas tous les messages
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane Catteau
Le #19722051
Bruno S devait dire quelque chose comme ceci :

Donc une vulnérabilité dans un ActiveX a été découverte et serait déjà
utilisée, source (en anglais) :
http://www.microsoft.com/technet/security/advisory/972890.mspx



"Microsoft thanks the following for working with us to help protect
customers:
Ryan Smith and Alex Wheeler of IBM ISS X-Force for initially reporting
the Microsoft Video ActiveX Control Remote Code Execution Vulnerability
(CVE-2008-0015)"

C'est moi qui suis mal réveillé, où les quatre premier chiffre des
identifiants CVE désignent l'année de soumission ?
Pascal
Le #19726711
-------- Message original --------

Bruno S devait dire quelque chose comme ceci :

Donc une vulnérabilité dans un ActiveX a été découverte et serait déjà
utilisée, source (en anglais) :
http://www.microsoft.com/technet/security/advisory/972890.mspx



"Microsoft thanks the following for working with us to help protect
customers:
Ryan Smith and Alex Wheeler of IBM ISS X-Force for initially reporting
the Microsoft Video ActiveX Control Remote Code Execution Vulnerability
(CVE-2008-0015)"

C'est moi qui suis mal réveillé, où les quatre premier chiffre des
identifiants CVE désignent l'année de soumission ?




C'est pas celui-la plutot :
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-010/CERTA-2009-ALE-010.html
Stephane Catteau
Le #19729321
Pascal devait dire quelque chose comme ceci :

C'est pas celui-la plutot :
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-010/CERTA-2009-ALE-010.html



Regarde dans la partie documentation de l'avis du CERTA, c'est la même
chose. Ryan Smith et Alex Wheeler ont découverts une vulnérabilité, ont
fait le nécessaire pour avoir un identifiant CVE, et enfin ils ont
avertis Microsoft. Et là on leur a dit quelque chose comme, "c'est bien
gentil votre truc, mais ça serait sympa de pas en parler pour le
moment".
Lorsque j'ai regardé hier, l'avis du CVE était encore quasiment
vierge, se contentant de dire qu'il s'agissait d'une vulnérabilité
touchant ActiveX et que pour l'instant l'information était verouillée
(Hold). Ca doit être la nouvelle politique de Microsoft, faire croire
qu'ils sont devenus réactifs en bloquant l'information de façon à ce
que la plus part des alertes aient une date postérieure à l'apparition
du patch.
Az Sam
Le #19730741
"Bruno S" 4a547570$0$2461$
Bonjour à tous

Donc une vulnérabilité dans un ActiveX a été découverte et serait déjà
utilisée, source (en anglais) :
http://www.microsoft.com/technet/security/advisory/972890.mspx

Pas encore de patch mais une solution de contournement :
http://support.microsoft.com/kb/972890

La signalisation de cette faille date d'avant-hier, je suis surpris qu'il n'y
ai pas eu, sur ce forum, de message la signalant. Ou alors mon lecteur de news
ne voit pas tous les messages ...




Ici il n'y a plus grand chose malheurseuement. Perso j'ai alimente mon petit
forum le jour meme sur le sujet.

Tiens une reaction que je trouve ce jour a ce sujet.
http://www.clubic.com/actualite-287316-csi-systeme-patch-microsoft.html

C'est comme pour les AV, un jeu du chat et de la souris qui dure depuis trop
longtemps.
Et Windows 7 n'apporte pas la revolution technologique qui est necessaire (et
attendue).
J'en rajoute pas, sur fcoms-w, on m'a repondu que je trollait il y a 15 jours.
:-/

Ca ressemble aux energies fossiles ca, on sait que c'est mauvais, on sait qu'on
est au bout du chemin, mais tant pis, on continue toujours .

--
Cordialement,
Az Sam.
Fabien LE LEZ
Le #19731491
On Wed, 08 Jul 2009 12:31:22 +0200, Bruno S

je suis surpris
qu'il n'y ai pas eu, sur ce forum, de message la signalant.



Pour moi, la surprise, c'est que ça vienne si tard. Tout le monde se
doutait bien que le modèle de sécurité d'ActiveX (ou plutôt son
absence) était foireux.
Loic Restoux
Le #19755721
Le 09 jui, a 13:02, Stephane Catteau papotait :
Regarde dans la partie documentation de l'avis du CERTA, c'est la même
chose. Ryan Smith et Alex Wheeler ont découverts une vulnérabilité, ont
fait le nécessaire pour avoir un identifiant CVE, et enfin ils ont
avertis Microsoft. Et là on leur a dit quelque chose comme, "c'est bien
gentil votre truc, mais ça serait sympa de pas en parler pour le
moment".



Pile poil :
http://www.darkreading.com/security/attacks/showArticle.jhtml?articleID!8400843


--
No fortunes found
Publicité
Poster une réponse
Anonyme