Failles Critiques pour Mozilla et Firefox

Ph. B.

18/04/2005 à 20:34

Patrice a écrit:

La fondation Mozilla a annoncé, ce week-end, la disponibilité des
versions 1.0.3 de Firefox et 1.7.7 de Mozilla Suite. Ces nouvelles
versions corrigent neuf failles de sécurité, dont trois sont
qualifiées de "Critiques". La vulnérabilité la plus dangereuse
concerne la gestion des "favicons" qui, via une simple page web
malicieusement construite, pourrait permettre l'installation et
l'exécution d'un fichier malicieux (trojan, virus, backdoor...).

voir le test en ligne chez le SIRT
http://www.frsirt.com/actualite/20050417.FaillesMozilla.php

Mozilla atteint aujourd'hui le même niveau de failles que MS...

Mais contrairement à MS, les correctifs sont (très) rapidement fournis ! ;-)

http://mozillazine-fr.org/

Et un résumé:
http://www.secuser.com/communiques/2005/050416_mozilla_firefox.htm

Pascal Chevrel

19/04/2005 à 07:23

La fondation Mozilla a annoncé, ce week-end, la disponibilité des
versions 1.0.3 de Firefox et 1.7.7 de Mozilla Suite. Ces nouvelles
versions corrigent neuf failles de sécurité, dont trois sont
qualifiées de "Critiques". La vulnérabilité la plus dangereuse
concerne la gestion des "favicons" qui, via une simple page web
malicieusement construite, pourrait permettre l'installation et
l'exécution d'un fichier malicieux (trojan, virus, backdoor...).

voir le test en ligne chez le SIRT
http://www.frsirt.com/actualite/20050417.FaillesMozilla.php

Mozilla atteint aujourd'hui le même niveau de failles que MS...

Mais bien sûr, et la marmotte...

IE6 tout seul (je parle même pas du cumul des failles depuis IE4) a eu
80 failles publiques de sécurité quasiment toutes notées par secunia
"highly critial" ou "moderately critical", à l'heure actuelle 19 "highly
critical" sont toujours notées comme non patchées ou partiellement
patchées, certaines depuis des mois.

Firefox a eu 15 failles publiques répertoriées, la plupart notées
"moderately critical" ou "less critical". Avec Firefox 1.0.3 il n'en
reste que quatre notée "less critical" ou "not critical" et ne
s'appliquant même pas à tout le monde (genre un bug ne concernant que
les utilisateurs MacOSX utilisant le plugin Java...).

"Microsoft Internet Explorer 6.x with all vendor patches installed and
all vendor workarounds applied, is currently affected by one or more
Secunia advisories rated *Highly critical*"

"Mozilla Firefox 1.x with all vendor patches installed and all vendor
workarounds applied, is currently affected by one or more Secunia
advisories rated *Less critical*"

Ah et puis il y aura bien sûr une autre mise à jour de sécurité 1.0.4
d'ici un mois je pense. La grande différence entre IE et Firefox, c'est
que Firefox colmate ses failles et encourage même les hackers à les
chercher. Chez Microsoft on attaque d'abord le hacker pour diffamation
et on attend le premier virus exploitant la faille pour sortir un
communiqué de presse annoncant que la faille ne sera colmatée que pour
les clients utilisant Windows XPSP2 minimum.

pascal

La fondation Mozilla a annoncé, ce week-end, la disponibilité des
versions 1.0.3 de Firefox et 1.7.7 de Mozilla Suite. Ces nouvelles
versions corrigent neuf failles de sécurité, dont trois sont
qualifiées de "Critiques". La vulnérabilité la plus dangereuse
concerne la gestion des "favicons" qui, via une simple page web
malicieusement construite, pourrait permettre l'installation et
l'exécution d'un fichier malicieux (trojan, virus, backdoor...).

voir le test en ligne chez le SIRT
http://www.frsirt.com/actualite/20050417.FaillesMozilla.php

Mozilla atteint aujourd'hui le même niveau de failles que MS...

Mais bien sûr, et la marmotte...

IE6 tout seul (je parle même pas du cumul des failles depuis IE4) a eu
80 failles publiques de sécurité quasiment toutes notées par secunia
"highly critial" ou "moderately critical", à l'heure actuelle 19 "highly
critical" sont toujours notées comme non patchées ou partiellement
patchées, certaines depuis des mois.

Firefox a eu 15 failles publiques répertoriées, la plupart notées
"moderately critical" ou "less critical". Avec Firefox 1.0.3 il n'en
reste que quatre notée "less critical" ou "not critical" et ne
s'appliquant même pas à tout le monde (genre un bug ne concernant que
les utilisateurs MacOSX utilisant le plugin Java...).

"Microsoft Internet Explorer 6.x with all vendor patches installed and
all vendor workarounds applied, is currently affected by one or more
Secunia advisories rated *Highly critical*"

"Mozilla Firefox 1.x with all vendor patches installed and all vendor
workarounds applied, is currently affected by one or more Secunia
advisories rated *Less critical*"

Ah et puis il y aura bien sûr une autre mise à jour de sécurité 1.0.4
d'ici un mois je pense. La grande différence entre IE et Firefox, c'est
que Firefox colmate ses failles et encourage même les hackers à les
chercher. Chez Microsoft on attaque d'abord le hacker pour diffamation
et on attend le premier virus exploitant la faille pour sortir un
communiqué de presse annoncant que la faille ne sera colmatée que pour
les clients utilisant Windows XPSP2 minimum.

pascal

Vous avez filtré cet utilisateur ! Consultez son message

La fondation Mozilla a annoncé, ce week-end, la disponibilité des
versions 1.0.3 de Firefox et 1.7.7 de Mozilla Suite. Ces nouvelles
versions corrigent neuf failles de sécurité, dont trois sont
qualifiées de "Critiques". La vulnérabilité la plus dangereuse
concerne la gestion des "favicons" qui, via une simple page web
malicieusement construite, pourrait permettre l'installation et
l'exécution d'un fichier malicieux (trojan, virus, backdoor...).

voir le test en ligne chez le SIRT
http://www.frsirt.com/actualite/20050417.FaillesMozilla.php

Mozilla atteint aujourd'hui le même niveau de failles que MS...

Mais bien sûr, et la marmotte...

IE6 tout seul (je parle même pas du cumul des failles depuis IE4) a eu
80 failles publiques de sécurité quasiment toutes notées par secunia
"highly critial" ou "moderately critical", à l'heure actuelle 19 "highly
critical" sont toujours notées comme non patchées ou partiellement
patchées, certaines depuis des mois.

Firefox a eu 15 failles publiques répertoriées, la plupart notées
"moderately critical" ou "less critical". Avec Firefox 1.0.3 il n'en
reste que quatre notée "less critical" ou "not critical" et ne
s'appliquant même pas à tout le monde (genre un bug ne concernant que
les utilisateurs MacOSX utilisant le plugin Java...).

"Microsoft Internet Explorer 6.x with all vendor patches installed and
all vendor workarounds applied, is currently affected by one or more
Secunia advisories rated *Highly critical*"

"Mozilla Firefox 1.x with all vendor patches installed and all vendor
workarounds applied, is currently affected by one or more Secunia
advisories rated *Less critical*"

Ah et puis il y aura bien sûr une autre mise à jour de sécurité 1.0.4
d'ici un mois je pense. La grande différence entre IE et Firefox, c'est
que Firefox colmate ses failles et encourage même les hackers à les
chercher. Chez Microsoft on attaque d'abord le hacker pour diffamation
et on attend le premier virus exploitant la faille pour sortir un
communiqué de presse annoncant que la faille ne sera colmatée que pour
les clients utilisant Windows XPSP2 minimum.

pascal

Cedric Blancher

19/04/2005 à 08:53

Le Tue, 19 Apr 2005 05:23:28 +0000, Pascal Chevrel a écrit :

Chez Microsoft on attaque d'abord le hacker pour diffamation

Pour autant que je sache, ceci est relativement faux. On peut reprocher
pleins de choses à Microsoft (lenteur, mauvaise foi, etc.), mais je ne me
souviens pas avoir vu MS attaquer quelqu'un qui leur remontait une faille.

--

Bon, je me présente aux présidentielles
Bon, avec mon projet, me reste plus qu'a trouver 500 signatures.

man fortune && man sigrot && man cp

-+- R in GFA : La bonne fortune donnera aux candidats leurs signatures -+-

ludo06

19/04/2005 à 11:55

Cedric Blancher wrote:

Chez Microsoft on attaque d'abord le hacker pour diffamation

Pour autant que je sache, ceci est relativement faux. On peut reprocher
pleins de choses à Microsoft (lenteur, mauvaise foi, etc.), mais je ne me
souviens pas avoir vu MS attaquer quelqu'un qui leur remontait une faille.

La question que je me pose sans cesse, et ce n'est pas valable que pour

Firefox, IE... c'est est-ce que les bonnes failles sont reellement
divulguees ? Des gens vraiment malhonnetes ne feront pas de publicite
autour de leurs exploits non ? My 2 cents,
--
Cordialement,
---
Ludo

Stephane Catteau

19/04/2005 à 12:54

[Xpost supprimé]
Pascal Chevrel nous disait récement dans fr.comp.securite
<news:42646402$0$783$ :

Mozilla atteint aujourd'hui le même niveau de failles que MS...

Mais bien sûr, et la marmotte...

Hum hum... Puisque tu veux jouer avec les chiffres, jouons avec.

Firefox a eu 15 failles publiques répertoriées, la plupart notées
"moderately critical" ou "less critical".

Pour les versions 1.x oui, mais si l'on rajoute les versions 0.x ça
monte déjà à 36. 36 failles en 11 mois, contre 64 en 27 mois pour IE 6,
auquel tu as toi-même choisi de restreindre ta comparaison ; ce qui en
soit n'est pas irréaliste, car les utilisateurs de Firefox ont
majoritairement une culture de mise à jour, ce qui n'est pas le cas
pour ceux d'Internet Explorer.
Si la notion de progression linéaire avait une quelconque réalité en
sécurité informatique (ce qui n'est pas le cas), dans 16 mois Firefox
aurait 88 failles...

Cela étant dit, il y a une chose que tu oublies allègrement et qui
pourtant est capitale ici, tant dans le fait qu'elle relativise le
nombre de failles d'IE, que dans le fait qu'elle augmente les risques
que ces failles font courir à l'utilisateur.
En effet, là où Firefox n'est qu'une programme, IE est un composant à
part entière, largement intégré au coeur du système. Lorsque Firefox
sera aussi étroitement intégré à KDE/Gnome/autre qu'IE l'est à
Windows[1], là tu pourras te permettre de faire des comparaisons
concernant le nombre de leurs failles respectives.
Mais évidement, il vaut mieux pour Firefox ne faire la comparaison
qu'avec IE, car c'est le seul navigateur web utilisable sous Windows et
relativement répandu, qui ait plus de failles connues que lui... A
titre d'exemple, prenons par Opera, qui est aussi client
NNTP/POP3/SMTP, et ses 33 failles sur 27 mois pour la version 7, 48 si
l'on rajoute la version 6 et 55 si l'on compte aussi la version 5. Ce
qui fait 50% de failles en plus pour presque 150% de temps de vie en
plus.

[1]
Au point que certaines failles ne concernant *pas* IE n'apparaissent
pourtant que si telle ou telle version d'IE est installée.

[Snip]

Chez Microsoft on attaque d'abord le hacker pour diffamation et on
attend le premier virus exploitant la faille pour sortir un
communiqué de presse annoncant que la faille ne sera colmatée que
pour les clients utilisant Windows XPSP2 minimum.

Et bien entendu tu vas nous fournir des preuves de tout ce que tu
avances, puisque ce n'est quand même pas toi qui va verser dans la
diffamation uniquement parce que ton égo a été frappé de plein fouet
par ce qui a été dit dans le message auquel tu répondais...

--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

[Xpost supprimé]
Pascal Chevrel nous disait récement dans fr.comp.securite
<news:42646402$0$783$626a14ce@news.free.fr> :

Mozilla atteint aujourd'hui le même niveau de failles que MS...

Mais bien sûr, et la marmotte...

Hum hum... Puisque tu veux jouer avec les chiffres, jouons avec.

Firefox a eu 15 failles publiques répertoriées, la plupart notées
"moderately critical" ou "less critical".

Pour les versions 1.x oui, mais si l'on rajoute les versions 0.x ça
monte déjà à 36. 36 failles en 11 mois, contre 64 en 27 mois pour IE 6,
auquel tu as toi-même choisi de restreindre ta comparaison ; ce qui en
soit n'est pas irréaliste, car les utilisateurs de Firefox ont
majoritairement une culture de mise à jour, ce qui n'est pas le cas
pour ceux d'Internet Explorer.
Si la notion de progression linéaire avait une quelconque réalité en
sécurité informatique (ce qui n'est pas le cas), dans 16 mois Firefox
aurait 88 failles...

Cela étant dit, il y a une chose que tu oublies allègrement et qui
pourtant est capitale ici, tant dans le fait qu'elle relativise le
nombre de failles d'IE, que dans le fait qu'elle augmente les risques
que ces failles font courir à l'utilisateur.
En effet, là où Firefox n'est qu'une programme, IE est un composant à
part entière, largement intégré au coeur du système. Lorsque Firefox
sera aussi étroitement intégré à KDE/Gnome/autre qu'IE l'est à
Windows[1], là tu pourras te permettre de faire des comparaisons
concernant le nombre de leurs failles respectives.
Mais évidement, il vaut mieux pour Firefox ne faire la comparaison
qu'avec IE, car c'est le seul navigateur web utilisable sous Windows et
relativement répandu, qui ait plus de failles connues que lui... A
titre d'exemple, prenons par Opera, qui est aussi client
NNTP/POP3/SMTP, et ses 33 failles sur 27 mois pour la version 7, 48 si
l'on rajoute la version 6 et 55 si l'on compte aussi la version 5. Ce
qui fait 50% de failles en plus pour presque 150% de temps de vie en
plus.

[1]
Au point que certaines failles ne concernant *pas* IE n'apparaissent
pourtant que si telle ou telle version d'IE est installée.

[Snip]

Chez Microsoft on attaque d'abord le hacker pour diffamation et on
attend le premier virus exploitant la faille pour sortir un
communiqué de presse annoncant que la faille ne sera colmatée que
pour les clients utilisant Windows XPSP2 minimum.

Et bien entendu tu vas nous fournir des preuves de tout ce que tu
avances, puisque ce n'est quand même pas toi qui va verser dans la
diffamation uniquement parce que ton égo a été frappé de plein fouet
par ce qui a été dit dans le message auquel tu répondais...

--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

Vous avez filtré cet utilisateur ! Consultez son message

[Xpost supprimé]
Pascal Chevrel nous disait récement dans fr.comp.securite
<news:42646402$0$783$ :

Mozilla atteint aujourd'hui le même niveau de failles que MS...

Mais bien sûr, et la marmotte...

Hum hum... Puisque tu veux jouer avec les chiffres, jouons avec.

Firefox a eu 15 failles publiques répertoriées, la plupart notées
"moderately critical" ou "less critical".

Pour les versions 1.x oui, mais si l'on rajoute les versions 0.x ça
monte déjà à 36. 36 failles en 11 mois, contre 64 en 27 mois pour IE 6,
auquel tu as toi-même choisi de restreindre ta comparaison ; ce qui en
soit n'est pas irréaliste, car les utilisateurs de Firefox ont
majoritairement une culture de mise à jour, ce qui n'est pas le cas
pour ceux d'Internet Explorer.
Si la notion de progression linéaire avait une quelconque réalité en
sécurité informatique (ce qui n'est pas le cas), dans 16 mois Firefox
aurait 88 failles...

Cela étant dit, il y a une chose que tu oublies allègrement et qui
pourtant est capitale ici, tant dans le fait qu'elle relativise le
nombre de failles d'IE, que dans le fait qu'elle augmente les risques
que ces failles font courir à l'utilisateur.
En effet, là où Firefox n'est qu'une programme, IE est un composant à
part entière, largement intégré au coeur du système. Lorsque Firefox
sera aussi étroitement intégré à KDE/Gnome/autre qu'IE l'est à
Windows[1], là tu pourras te permettre de faire des comparaisons
concernant le nombre de leurs failles respectives.
Mais évidement, il vaut mieux pour Firefox ne faire la comparaison
qu'avec IE, car c'est le seul navigateur web utilisable sous Windows et
relativement répandu, qui ait plus de failles connues que lui... A
titre d'exemple, prenons par Opera, qui est aussi client
NNTP/POP3/SMTP, et ses 33 failles sur 27 mois pour la version 7, 48 si
l'on rajoute la version 6 et 55 si l'on compte aussi la version 5. Ce
qui fait 50% de failles en plus pour presque 150% de temps de vie en
plus.

[1]
Au point que certaines failles ne concernant *pas* IE n'apparaissent
pourtant que si telle ou telle version d'IE est installée.

[Snip]

Chez Microsoft on attaque d'abord le hacker pour diffamation et on
attend le premier virus exploitant la faille pour sortir un
communiqué de presse annoncant que la faille ne sera colmatée que
pour les clients utilisant Windows XPSP2 minimum.

Et bien entendu tu vas nous fournir des preuves de tout ce que tu
avances, puisque ce n'est quand même pas toi qui va verser dans la
diffamation uniquement parce que ton égo a été frappé de plein fouet
par ce qui a été dit dans le message auquel tu répondais...

--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

Stephane Catteau

19/04/2005 à 13:10

[Ne cherchez pas le message, auto-approbation, boum, apu]
[Postage réduit à fcs]
ludo06 nous disait récement dans fr.comp.securite
<news:4264d577$0$19356$ :

La question que je me pose sans cesse, et ce n'est pas valable que
pour Firefox, IE... c'est est-ce que les bonnes failles sont
reellement divulguees ?

Oui, elles le sont toutes... un jour où l'autre.

Des gens vraiment malhonnetes ne feront pas de publicite autour de
leurs exploits non ?

Oui aussi, les failles en question porteront alors le doux nom
d'exploit "zero day", en référence au nombre de jour depuis que la
faille a été rendue publique, à savoir aucun.

Pour autant, ce qu'il faut bien comprendre, c'est qu'il n'y a pas que
des personnes malhonnetes qui cherchent/trouvent des failles, il y a
aussi des personnes bien sous tout rapport. Alors certes, il y a
parfois des failles inconnues de tous, mais si un pirate en trouve une,
il n'y a aucune raison pour qu'un gentil monsieur ne la trouve pas lui
aussi. Dans l'absolue ils ont les mêmes connaissances et le même esprit
torturé, ils aboutiront donc au même résultat, du moins dès lors qu'ils
regardent au même endroit.
De même, plus elle est utilisée, plus une faille zero day perd de sa
pertinence. Non pas parce que le système sait s'adapter tout seul[1],
mais parce qu'il y a toujours un être humain derrière le système sur
lequel la faille est utilisée. Tous ne sont pas compétents, tous ne
sont pas en mesure de remonter l'attaque pour trouver la faille, et
tous ne sont pas capable de comprendre la faille une fois qu'ils l'ont
trouvés. Mais il suffit qu'il y en ait un, un seul, et qu'il demande à
ceux qui savent, si lui ne sait pas, pour que la faille arrive en plein
jour. Donc, en soit un ordinateur personnel n'a rien à craindre des
failles zero day, ce serait prendre un risque inutile que de les
utiliser dans un tel cas.

[1]
Un jour peut-être ;-)
--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

[Ne cherchez pas le message, auto-approbation, boum, apu]
[Postage réduit à fcs]
ludo06 nous disait récement dans fr.comp.securite
<news:4264d577$0$19356$626a14ce@news.free.fr> :

La question que je me pose sans cesse, et ce n'est pas valable que
pour Firefox, IE... c'est est-ce que les bonnes failles sont
reellement divulguees ?

Oui, elles le sont toutes... un jour où l'autre.

Des gens vraiment malhonnetes ne feront pas de publicite autour de
leurs exploits non ?

Oui aussi, les failles en question porteront alors le doux nom
d'exploit "zero day", en référence au nombre de jour depuis que la
faille a été rendue publique, à savoir aucun.

Pour autant, ce qu'il faut bien comprendre, c'est qu'il n'y a pas que
des personnes malhonnetes qui cherchent/trouvent des failles, il y a
aussi des personnes bien sous tout rapport. Alors certes, il y a
parfois des failles inconnues de tous, mais si un pirate en trouve une,
il n'y a aucune raison pour qu'un gentil monsieur ne la trouve pas lui
aussi. Dans l'absolue ils ont les mêmes connaissances et le même esprit
torturé, ils aboutiront donc au même résultat, du moins dès lors qu'ils
regardent au même endroit.
De même, plus elle est utilisée, plus une faille zero day perd de sa
pertinence. Non pas parce que le système sait s'adapter tout seul[1],
mais parce qu'il y a toujours un être humain derrière le système sur
lequel la faille est utilisée. Tous ne sont pas compétents, tous ne
sont pas en mesure de remonter l'attaque pour trouver la faille, et
tous ne sont pas capable de comprendre la faille une fois qu'ils l'ont
trouvés. Mais il suffit qu'il y en ait un, un seul, et qu'il demande à
ceux qui savent, si lui ne sait pas, pour que la faille arrive en plein
jour. Donc, en soit un ordinateur personnel n'a rien à craindre des
failles zero day, ce serait prendre un risque inutile que de les
utiliser dans un tel cas.

[1]
Un jour peut-être ;-)
--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

Vous avez filtré cet utilisateur ! Consultez son message

[Ne cherchez pas le message, auto-approbation, boum, apu]
[Postage réduit à fcs]
ludo06 nous disait récement dans fr.comp.securite
<news:4264d577$0$19356$ :

La question que je me pose sans cesse, et ce n'est pas valable que
pour Firefox, IE... c'est est-ce que les bonnes failles sont
reellement divulguees ?

Oui, elles le sont toutes... un jour où l'autre.

Des gens vraiment malhonnetes ne feront pas de publicite autour de
leurs exploits non ?

Oui aussi, les failles en question porteront alors le doux nom
d'exploit "zero day", en référence au nombre de jour depuis que la
faille a été rendue publique, à savoir aucun.

Pour autant, ce qu'il faut bien comprendre, c'est qu'il n'y a pas que
des personnes malhonnetes qui cherchent/trouvent des failles, il y a
aussi des personnes bien sous tout rapport. Alors certes, il y a
parfois des failles inconnues de tous, mais si un pirate en trouve une,
il n'y a aucune raison pour qu'un gentil monsieur ne la trouve pas lui
aussi. Dans l'absolue ils ont les mêmes connaissances et le même esprit
torturé, ils aboutiront donc au même résultat, du moins dès lors qu'ils
regardent au même endroit.
De même, plus elle est utilisée, plus une faille zero day perd de sa
pertinence. Non pas parce que le système sait s'adapter tout seul[1],
mais parce qu'il y a toujours un être humain derrière le système sur
lequel la faille est utilisée. Tous ne sont pas compétents, tous ne
sont pas en mesure de remonter l'attaque pour trouver la faille, et
tous ne sont pas capable de comprendre la faille une fois qu'ils l'ont
trouvés. Mais il suffit qu'il y en ait un, un seul, et qu'il demande à
ceux qui savent, si lui ne sait pas, pour que la faille arrive en plein
jour. Donc, en soit un ordinateur personnel n'a rien à craindre des
failles zero day, ce serait prendre un risque inutile que de les
utiliser dans un tel cas.

[1]
Un jour peut-être ;-)
--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

F. Senault

19/04/2005 à 16:34

Stephane Catteau écrivait :

Mais évidement, il vaut mieux pour Firefox ne faire la comparaison
qu'avec IE, car c'est le seul navigateur web utilisable sous Windows et
relativement répandu, qui ait plus de failles connues que lui... A
titre d'exemple, prenons par Opera, qui est aussi client
NNTP/POP3/SMTP, et ses 33 failles sur 27 mois pour la version 7, 48 si
l'on rajoute la version 6 et 55 si l'on compte aussi la version 5. Ce
qui fait 50% de failles en plus pour presque 150% de temps de vie en
plus.

Opera étant par ailleurs soit un spamware, soit un spyware au choix
de l'utilisateur... (la version sans pub envoie les url consultées à
google...)

Tu peux préciser la version concernée et la source de cette
information ?

Quand tu parles de version sans pub, tu parles de la version
enregistrée, ou de la version avec pub textes choisies ? Si c'est ce
dernier cas, il faut noter que c'est écrit en toutes lettres dans la
fenêtre qui permet de faire le choix du type de pubs.

Et donc, tu oublies le troisième choix, qui est "browser tout à fait
fiable une fois qu'on l'a acheté".

Au fait, après recherche sur le web, tout le monde fait référence à un
article paru dans The Inquirer, qui a ensuite été mise à jour par son
auteur pour dire qu'il y avait fausse donne...

Fred
--
If you'd only talk to me Don't you ever change your mind
Now your future's so defined And you act so deaf so blind
Come on, come talk to me Come talk to me, come talk to me
(Peter Gabriel, Come Talk to Me)

F. Senault

19/04/2005 à 18:33

"F. Senault" écrivait :

Au fait, après recherche sur le web, tout le monde fait référence à un
article paru dans The Inquirer, qui a ensuite été mise à jour par son
auteur pour dire qu'il y avait fausse donne...

Juste des stats de site sur une url non publiée après une lecture avec
Opéra...

Url non destinée à être googelisée d'ailleurs...

Réponds d'abord à la question : version enregistrée ou sponsorisée ?

Fred
--
Sous la lumière en plein Et dans l'ombre en silence
Si tu cherches un abri Inaccessible
Dis toi qu'il n'est pas loin et qu'on y brille
A ton étoile (Noir Désir, A ton étoile)

Nick

19/04/2005 à 19:02

On 19 Apr 2005 10:54:28 GMT, Stephane Catteau
wrote:

Firefox a eu 15 failles publiques répertoriées, la plupart notées
"moderately critical" ou "less critical".

Pour les versions 1.x oui, mais si l'on rajoute les versions 0.x ça
monte déjà à 36. 36 failles en 11 mois, contre 64 en 27 mois pour IE 6,
auquel tu as toi-même choisi de restreindre ta comparaison ; ce qui en
soit n'est pas irréaliste, car les utilisateurs de Firefox ont
majoritairement une culture de mise à jour, ce qui n'est pas le cas
pour ceux d'Internet Explorer.
Si la notion de progression linéaire avait une quelconque réalité en
sécurité informatique (ce qui n'est pas le cas), dans 16 mois Firefox
aurait 88 failles...

Comparons ce qui est comparable ! Les versions 0.x de FireFox sont des
bêtas, alors qu'IE 6 est une finale (de meme que les versions 5 et
anterieures).

Nick

Nicob

19/04/2005 à 23:38

On Tue, 19 Apr 2005 11:10:50 +0000, Stephane Catteau wrote:

est-ce que les bonnes failles sont reellement divulguees ?

Oui, elles le sont toutes... un jour où l'autre.

Certains extrémistes disent que les failles sont publiques dès que le
code (que ce soit sous forme de sources ou d'exécutables) est diffusé
;-) Mais il faut manier avec dextérité l'automatisation de la recherche
de vulns sur des binaires pour se permettre ces jugements ...

Pour autant, ce qu'il faut bien comprendre, c'est qu'il n'y a pas que
des personnes malhonnetes qui cherchent/trouvent des failles, il y a
aussi des personnes bien sous tout rapport.

Et un paquet de gens qu'on ne sait pas où caser dans ce système binaire
;-)

Parmi ceux qui publient des failles, il y a :
- les hobbyistes
- certains professionnels de la sécurité
- et c'est tout !

Parmi ceux qui ne publient pas :
- les clubs de vente de 0-day (j'en connais au moins 5)
- les gouvernements (dont un bon paquet a le code source de Windows)
- les boites de sécu qui gardent les 0-day pour les pen-tests
- les éditeurs qui veulent éviter la mauvaise publicité
- le crime organisé

Certains codes du crime organisé deviennent publics en raison de leur
utilisation à grande échelle (Dumaru), mais les autres ont tout
intérêt à garder privés leurs exploits.

Donc, en soit un ordinateur personnel n'a rien à craindre des failles
zero day, ce serait prendre un risque inutile que de les utiliser dans
un tel cas.

Sauf si celui d'un VIP d'une société "intéressante" et qu'il dispose depuis
son laptop d'un accès VPN au LAN de son employeur.

Nicob

Failles Critiques pour Mozilla et Firefox

10 réponses

Veuillez sélectionner un problème