[Safari] petite faille de sécurité sous MacOSX...
Le
rm
Salut,
Une jolie faille, classée comme /extrèmement critique/ par Secunia, qui
exagère toujours un peu :) , semble capable d'inquiéter les utilisateurs du
navigateur Safari sous MacOSX
http://secunia.com/advisories/18963/
Cette faille est, pour les utilisateurs de ce navigateur, très simple à
contourner puisqu'il suffit, via le panneau de préférences, d'empècher
l'exécution automatique des fichiers téléchargés (je pensais qu'il n'y
avait que les vieux IE sous Windows qui pouvaient, sous certaines
conditions, exécuter automatiquement du contenu téléchargé :))
Enfin, le tout est de le savoir.
Par contre, sachant qu'un banal fichier zip n'inquiète en général pas trop
l'utilisateur "lambda", on le voit sous Windows avec une bonne proportion
de virus maintenant distribués sous cette forme, je me demande si la faille
ne pourrait pas être exploitée, banalement de la même manière, par simple
diffusion d'archives zip plombées, par mail ou téléchargement avec
n'importe quel autre navigateur très sûr
voir aussi http://www.heise.de/english/newsticker/news/69862
où il est aussi conseillé de déplacer carrément son Terminal.app et de
regarder attentivement le contenu des archives zip.
En espérant qu'il n'y aura pas trop de désagréments pour des utilisateurs
qui se sentent souvent bien en sécurité avec des logiciels et un OS dont on
vente allègrement la robustesse ;-P
@+
--
rm
Une jolie faille, classée comme /extrèmement critique/ par Secunia, qui
exagère toujours un peu :) , semble capable d'inquiéter les utilisateurs du
navigateur Safari sous MacOSX
http://secunia.com/advisories/18963/
Cette faille est, pour les utilisateurs de ce navigateur, très simple à
contourner puisqu'il suffit, via le panneau de préférences, d'empècher
l'exécution automatique des fichiers téléchargés (je pensais qu'il n'y
avait que les vieux IE sous Windows qui pouvaient, sous certaines
conditions, exécuter automatiquement du contenu téléchargé :))
Enfin, le tout est de le savoir.
Par contre, sachant qu'un banal fichier zip n'inquiète en général pas trop
l'utilisateur "lambda", on le voit sous Windows avec une bonne proportion
de virus maintenant distribués sous cette forme, je me demande si la faille
ne pourrait pas être exploitée, banalement de la même manière, par simple
diffusion d'archives zip plombées, par mail ou téléchargement avec
n'importe quel autre navigateur très sûr
voir aussi http://www.heise.de/english/newsticker/news/69862
où il est aussi conseillé de déplacer carrément son Terminal.app et de
regarder attentivement le contenu des archives zip.
En espérant qu'il n'y aura pas trop de désagréments pour des utilisateurs
qui se sentent souvent bien en sécurité avec des logiciels et un OS dont on
vente allègrement la robustesse ;-P
@+
--
rm
Poser une question
ça semble se confirmer (même pas besoin de ziper) :
http://www.heise.de/english/newsticker/news/69919
lire "vante", pardon pour le lapsus :-D
@+
--
rm
On verra si la faille en question est exploitée.
Existe depuis 2001, et c'est l'une des premières grosses failles
critiques...
En 5 ans, c'est pas si mal...
--
Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
Tout cela à cause de cette saloperie de fonctionnalité : "ouvrir
automatiquement les fichiers fiables".
Y a des codeurs chez Apple qui vont avoir des emmerdements ;)
Sauf erreur de ma part, cette fonction est désactivé avec les versions
10.4.3 et suivant de MacOS-X.
Farpaitement.
Surtout que les formats les plus utilisés sous mac sont les fichiers
.dmg ou .sit.
En effet, cela pourraît être un problème.
Mouais. Je me demande pourquoi d'un coup, et depuis d'une dizaine de
jours, les éditeurs d'AV qui annoncent véroles sur véroles pour MacOS-X.
Là, c'est carrément de la connerie.
Un unix sera toujours plus sécurisé qu'un Windows... Suffit de voir le
nombre de services désactivés par défaut sur un MacOS-X sorti de sa boite ;)
--
Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
Honnêtement, je pense que le facteur principal pour la sécurité d'une
machine, c'est l'interface chaise-clavier.
Mais j'admets qu'un Windows "out of the box" demande pas mal de boulot
avant que j'ose connecter le câble Ethernet.
On peut y ajouter un intermédiaire important : l'administrateur !