Attention, si il est vrai que l'exploit rendu public n'atteint pas IE6SP2 la faille est bel est bien présente. Gageons qu'il ne faudra qu'un peu de temps pour qu'un groupe d'illuminés l'exploite dans une nouvelle version:)
Amicalement.
On 03 Nov 2004 21:02:45 GMT, elvi52001@yahoo.com (Patrice) wrote:
Attention, si il est vrai que l'exploit rendu public n'atteint pas IE6SP2 la faille est bel est bien
présente.
Gageons qu'il ne faudra qu'un peu de temps pour qu'un groupe d'illuminés l'exploite dans une
nouvelle version:)
Attention, si il est vrai que l'exploit rendu public n'atteint pas IE6SP2 la faille est bel est bien présente. Gageons qu'il ne faudra qu'un peu de temps pour qu'un groupe d'illuminés l'exploite dans une nouvelle version:)
Amicalement.
Nicob
On Thu, 04 Nov 2004 10:05:46 +0000, Philippe Orand wrote:
Attention, si il est vrai que l'exploit rendu public n'atteint pas IE6SP2 la faille est bel est bien présente.
Pourtant, le bulletin K-Otik indique que "l'exploitation sous Internet Explorer 6 SP2 n'est pas possible". Alors, vulnérable ou pas ?
Nicob
On Thu, 04 Nov 2004 10:05:46 +0000, Philippe Orand wrote:
Attention, si il est vrai que l'exploit rendu public n'atteint pas
IE6SP2 la faille est bel est bien présente.
Pourtant, le bulletin K-Otik indique que "l'exploitation sous Internet
Explorer 6 SP2 n'est pas possible". Alors, vulnérable ou pas ?
On Thu, 04 Nov 2004 10:05:46 +0000, Philippe Orand wrote:
Attention, si il est vrai que l'exploit rendu public n'atteint pas IE6SP2 la faille est bel est bien présente.
Pourtant, le bulletin K-Otik indique que "l'exploitation sous Internet Explorer 6 SP2 n'est pas possible". Alors, vulnérable ou pas ?
Nicob
Manu
Fabien LE LEZ wrote:
Je pense que tous les lecteurs du présent forum ont depuis longtemps migré... vers Opera/Mozilla/etc.
D'un autre côté depuis que j'ai lu ça (http://www.newsforge.com/article.pl?sid/11/01/1558216) je me sens moins sûr de moi et de mon Mozilla/Firefox. Espèront que cela sera résolu très vite.
En résumé: " Last month Michal Zalewski posted to the Bugtraq security mailing list the results of a small experiment he carried out involving feeding randomly generated HTML pages into some of the Web's most widely used browsers. The results were somewhat alarming. All of the open source browsers Michal tested crashed when faced with this kind of input. Only one browser stood up well against this type of stress test. Which one? A round of applause please for, er, Microsoft's Internet Explorer."
Fabien LE LEZ wrote:
Je pense que tous les lecteurs du présent forum ont depuis longtemps
migré... vers Opera/Mozilla/etc.
D'un autre côté depuis que j'ai lu ça
(http://www.newsforge.com/article.pl?sid/11/01/1558216) je me sens
moins sûr de moi et de mon Mozilla/Firefox.
Espèront que cela sera résolu très vite.
En résumé: " Last month Michal Zalewski posted to the Bugtraq security
mailing list the results of a small experiment he carried out involving
feeding randomly generated HTML pages into some of the Web's most widely
used browsers. The results were somewhat alarming. All of the open
source browsers Michal tested crashed when faced with this kind of
input. Only one browser stood up well against this type of stress test.
Which one? A round of applause please for, er, Microsoft's Internet
Explorer."
Je pense que tous les lecteurs du présent forum ont depuis longtemps migré... vers Opera/Mozilla/etc.
D'un autre côté depuis que j'ai lu ça (http://www.newsforge.com/article.pl?sid/11/01/1558216) je me sens moins sûr de moi et de mon Mozilla/Firefox. Espèront que cela sera résolu très vite.
En résumé: " Last month Michal Zalewski posted to the Bugtraq security mailing list the results of a small experiment he carried out involving feeding randomly generated HTML pages into some of the Web's most widely used browsers. The results were somewhat alarming. All of the open source browsers Michal tested crashed when faced with this kind of input. Only one browser stood up well against this type of stress test. Which one? A round of applause please for, er, Microsoft's Internet Explorer."
Fabien LE LEZ
On 04 Nov 2004 20:37:34 GMT, Manu :
All of the open source browsers Michal tested crashed when faced with this kind of input.
Note tout de même qu'un navigateur qui n'est pas intégré au système peut se permettre de planter sans que ce soit considéré comme un problème grave -- tant qu'il se contente de planter.
-- ;-)
On 04 Nov 2004 20:37:34 GMT, Manu <nobody@guzu.net.invalid>:
All of the open
source browsers Michal tested crashed when faced with this kind of
input.
Note tout de même qu'un navigateur qui n'est pas intégré au système
peut se permettre de planter sans que ce soit considéré comme un
problème grave -- tant qu'il se contente de planter.
All of the open source browsers Michal tested crashed when faced with this kind of input.
Note tout de même qu'un navigateur qui n'est pas intégré au système peut se permettre de planter sans que ce soit considéré comme un problème grave -- tant qu'il se contente de planter.
-- ;-)
Eric Razny
Fabien LE LEZ wrote:
En résumé: " Last month Michal Zalewski posted to the Bugtraq security mailing list the results of a small experiment he carried out involving feeding randomly generated HTML pages into some of the Web's most widely used browsers. The results were somewhat alarming. All of the open source browsers Michal tested crashed when faced with this kind of input. Only one browser stood up well against this type of stress test. Which one? A round of applause please for, er, Microsoft's Internet Explorer."
Bon, je passe sur le résumé en anglais, mais résumé ne eut pas dire tronqué. Je n'ai pas l'article sous la main mais il me semble bien que ça continuait par le fait que ça ne voulait certainement pas dire que IE devait pour autant être considéré comme sur! :)
Il me semble qu'un leitmotiv ici est que tout logiciel peut avoir une faille et qu'il aut patcher les softs dès que possible.
Maintenant efectivement il est interressant de savoir combien de temps et pris pour sortir un correctif (réellement utilisable par le grand public pour un bug sur ce type de soft, par un nightly build :) ).
Enfin il y a certains softs qui ont la mauvaise habitude d'avoir des failles, parfois graves, et en plus de les minimiser et/ou ne pas les patcher avant un délai plus ou encore plus long...
Eric.
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Fabien LE LEZ wrote:
En résumé: " Last month Michal Zalewski posted to the Bugtraq security
mailing list the results of a small experiment he carried out involving
feeding randomly generated HTML pages into some of the Web's most widely
used browsers. The results were somewhat alarming. All of the open
source browsers Michal tested crashed when faced with this kind of
input. Only one browser stood up well against this type of stress test.
Which one? A round of applause please for, er, Microsoft's Internet
Explorer."
Bon, je passe sur le résumé en anglais, mais résumé ne eut pas dire
tronqué. Je n'ai pas l'article sous la main mais il me semble bien que
ça continuait par le fait que ça ne voulait certainement pas dire que IE
devait pour autant être considéré comme sur! :)
Il me semble qu'un leitmotiv ici est que tout logiciel peut avoir une
faille et qu'il aut patcher les softs dès que possible.
Maintenant efectivement il est interressant de savoir combien de temps
et pris pour sortir un correctif (réellement utilisable par le grand
public pour un bug sur ce type de soft, par un nightly build :) ).
Enfin il y a certains softs qui ont la mauvaise habitude d'avoir des
failles, parfois graves, et en plus de les minimiser et/ou ne pas les
patcher avant un délai plus ou encore plus long...
Eric.
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
En résumé: " Last month Michal Zalewski posted to the Bugtraq security mailing list the results of a small experiment he carried out involving feeding randomly generated HTML pages into some of the Web's most widely used browsers. The results were somewhat alarming. All of the open source browsers Michal tested crashed when faced with this kind of input. Only one browser stood up well against this type of stress test. Which one? A round of applause please for, er, Microsoft's Internet Explorer."
Bon, je passe sur le résumé en anglais, mais résumé ne eut pas dire tronqué. Je n'ai pas l'article sous la main mais il me semble bien que ça continuait par le fait que ça ne voulait certainement pas dire que IE devait pour autant être considéré comme sur! :)
Il me semble qu'un leitmotiv ici est que tout logiciel peut avoir une faille et qu'il aut patcher les softs dès que possible.
Maintenant efectivement il est interressant de savoir combien de temps et pris pour sortir un correctif (réellement utilisable par le grand public pour un bug sur ce type de soft, par un nightly build :) ).
Enfin il y a certains softs qui ont la mauvaise habitude d'avoir des failles, parfois graves, et en plus de les minimiser et/ou ne pas les patcher avant un délai plus ou encore plus long...
Eric.
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
serri_amir
Nicob wrote in message news:...
On Thu, 04 Nov 2004 10:05:46 +0000, Philippe Orand wrote:
Attention, si il est vrai que l'exploit rendu public n'atteint pas IE6SP2 la faille est bel est bien présente.
Pourtant, le bulletin K-Otik indique que "l'exploitation sous Internet Explorer 6 SP2 n'est pas possible". Alors, vulnérable ou pas ?
apparemment sous IE 6 SP2, il n'y a pas de vulnérabilité, sauf si tu n'as pas beaucoup de RAM, à ce moment là ton IE SP2 est instable (DoS) puisque l'iframe générée est méga consommatrice de mémoire.
Nicob <nicob@I.hate.spammers.com> wrote in message news:<pan.2004.11.04.10.17.05.556890@I.hate.spammers.com>...
On Thu, 04 Nov 2004 10:05:46 +0000, Philippe Orand wrote:
Attention, si il est vrai que l'exploit rendu public n'atteint pas
IE6SP2 la faille est bel est bien présente.
Pourtant, le bulletin K-Otik indique que "l'exploitation sous Internet
Explorer 6 SP2 n'est pas possible". Alors, vulnérable ou pas ?
apparemment sous IE 6 SP2, il n'y a pas de vulnérabilité, sauf si tu
n'as pas beaucoup de RAM, à ce moment là ton IE SP2 est instable (DoS)
puisque l'iframe générée est méga consommatrice de mémoire.
On Thu, 04 Nov 2004 10:05:46 +0000, Philippe Orand wrote:
Attention, si il est vrai que l'exploit rendu public n'atteint pas IE6SP2 la faille est bel est bien présente.
Pourtant, le bulletin K-Otik indique que "l'exploitation sous Internet Explorer 6 SP2 n'est pas possible". Alors, vulnérable ou pas ?
apparemment sous IE 6 SP2, il n'y a pas de vulnérabilité, sauf si tu n'as pas beaucoup de RAM, à ce moment là ton IE SP2 est instable (DoS) puisque l'iframe générée est méga consommatrice de mémoire.
Philippe Orand
On 04 Nov 2004 13:03:15 GMT, Nicob wrote:
Attention, si il est vrai que l'exploit rendu public n'atteint pas IE6SP2 la faille est bel est bien présente.
Pourtant, le bulletin K-Otik indique que "l'exploitation sous Internet Explorer 6 SP2 n'est pas possible". Alors, vulnérable ou pas ?
Lis bien :) L'exploit n'affecte pas IE6SP2 mais la faille est bel est bien existante! copie de k-otik ->" - Windows XP SP2 n'est pas vulnérable (à cet exploit)."
Une faille peut être exploitée ou non, par exemple, la fabuleuse faille qui a permis la prolifération de Blaster/Lovsan a été exploitée sur 2000/XP mais pas sur NT4 workstation français (ou alors je n'ai pas vu passer), pourtant elle exitait bel et bien.
Le fait qu'à l'heure actuelle, à ma connaissance, personne n'a exécuté un code arbitraire sur IE6SP2 ne veut pas dire que ce n'est pas possible. La faille étant existante un petit malin peut un jour nous pondre une bonne grosse page HTML bien pourrie qui l'exploitera.
Amicalement, Philippe.
On 04 Nov 2004 13:03:15 GMT, Nicob <nicob@I.hate.spammers.com> wrote:
Attention, si il est vrai que l'exploit rendu public n'atteint pas
IE6SP2 la faille est bel est bien présente.
Pourtant, le bulletin K-Otik indique que "l'exploitation sous Internet
Explorer 6 SP2 n'est pas possible". Alors, vulnérable ou pas ?
Lis bien :)
L'exploit n'affecte pas IE6SP2 mais la faille est bel est bien existante!
copie de k-otik ->" - Windows XP SP2 n'est pas vulnérable (à cet exploit)."
Une faille peut être exploitée ou non, par exemple, la fabuleuse faille qui a permis la
prolifération de Blaster/Lovsan a été exploitée sur 2000/XP mais pas sur NT4 workstation français
(ou alors je n'ai pas vu passer), pourtant elle exitait bel et bien.
Le fait qu'à l'heure actuelle, à ma connaissance, personne n'a exécuté un code arbitraire sur IE6SP2
ne veut pas dire que ce n'est pas possible. La faille étant existante un petit malin peut un jour
nous pondre une bonne grosse page HTML bien pourrie qui l'exploitera.
Attention, si il est vrai que l'exploit rendu public n'atteint pas IE6SP2 la faille est bel est bien présente.
Pourtant, le bulletin K-Otik indique que "l'exploitation sous Internet Explorer 6 SP2 n'est pas possible". Alors, vulnérable ou pas ?
Lis bien :) L'exploit n'affecte pas IE6SP2 mais la faille est bel est bien existante! copie de k-otik ->" - Windows XP SP2 n'est pas vulnérable (à cet exploit)."
Une faille peut être exploitée ou non, par exemple, la fabuleuse faille qui a permis la prolifération de Blaster/Lovsan a été exploitée sur 2000/XP mais pas sur NT4 workstation français (ou alors je n'ai pas vu passer), pourtant elle exitait bel et bien.
Le fait qu'à l'heure actuelle, à ma connaissance, personne n'a exécuté un code arbitraire sur IE6SP2 ne veut pas dire que ce n'est pas possible. La faille étant existante un petit malin peut un jour nous pondre une bonne grosse page HTML bien pourrie qui l'exploitera.
Amicalement, Philippe.
Nicob
On Thu, 04 Nov 2004 20:37:34 +0000, Manu wrote:
"[...] Only one browser stood up well against this type of stress test. Which one? A round of applause please for, er, Microsoft's Internet Explorer."
IE a effectivement assez bien résisté à l'outil de Michal Zalewski. Mais le "port" en Python réalisé par Ned de FelineMenace a permis d'identifier un bug ayant eu pour "consécration" cet exploit :
"[...] Only one browser stood up well against this type of stress test.
Which one? A round of applause please for, er, Microsoft's Internet
Explorer."
IE a effectivement assez bien résisté à l'outil de Michal Zalewski.
Mais le "port" en Python réalisé par Ned de FelineMenace a permis
d'identifier un bug ayant eu pour "consécration" cet exploit :
"[...] Only one browser stood up well against this type of stress test. Which one? A round of applause please for, er, Microsoft's Internet Explorer."
IE a effectivement assez bien résisté à l'outil de Michal Zalewski. Mais le "port" en Python réalisé par Ned de FelineMenace a permis d'identifier un bug ayant eu pour "consécration" cet exploit :