Alerte Sécurité Microsoft (Download.Ject) - IIS et IE

Tandis que les Windows NT/2000/2003/XP répondent à des critères de
sécurité [...]

Ouais, on a vu ça.

Frederic Bonroy wrote:

Tandis que les Windows NT/2000/2003/XP répondent à des critères de
sécurité [...]

Ouais, on a vu ça.
Je peux t'assurer que l'on peut durcir les OS NT/2000/2003/XP afin

d'obtenir le niveau de sécurité recherché.

Tout le problème des OS de MS et plus largement des autres produits &
services de MS réside dans leur configuration par défaut.

JacK, in <2ksul7F61289U1@uni-berlin.de> :

Bien sûr mais il en a d'autres, critiques et qui ne seront jamais corrigées
puisque le produit n'est plus supporté : c'est tomber de Charybde en Sylla
:o)

Je sais bien, mais la probabilité pour qu'elles soient exploitées est
plus que faible, d'autant plus que j'ai installé tous les correctifs
disponibles (soit dit en passant, pendant une certaine période, les
MAJ pour IE refusaient de s'installer sur Win95 !). Si j'ai cet OS, ce
n'est pas par choix, encore moins par choix pour la sécurité (!) :
c'est parce qu'il était livré avec mon PC acheté en 1997, et que je
n'ai pas changé depuis. Allez donc installer un Linux avec interface
graphique sur un 200 MHz, vous comprendrez pourquoi...

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident.)
Contre la privatisation programmée d'EDF :
<http://www.energiepublique.org>

LaDDL, in <40e9ce66$0$8203$79c14f64@nan-newsreader-06.noos.net> :

Tout le problème des OS de MS et plus largement des autres produits &
services de MS réside dans leur configuration par défaut.

Ah oui, comme pour Download.Ject, il suffit de tout désactiver dans
IE ? Y'a une solution encore plus sûre : ne pas aller sur le net.

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident.)
Contre la privatisation programmée d'EDF :
<http://www.energiepublique.org>

JacK, in <2kt2h8F6069bU1@uni-berlin.de> :

Il n'empêche qu'il y a un tas de failles dans IE/OE win95 sur lequel on ne
peut installer IE6 qui ne seront jamais colmatées et permettent l'exécution
d'un malware à la simple ouverture d'un mail html par exemple,
indépendamment des autres problèmes de sécurité inérant aux OS non NT.

1) Si vous parlez de la faille MIME qui permettait l'exécution d'une
pièce jointe sans préavis, ça fait longtemps qu'elle a été
patchée. Si vous parlez de l'exécution de code à partir d'IFRAME,
c'est mon firewall qui s'en occupe en interdisant l'accès au Web à
OE.

2) Ce n'est pas dû à Win95, et on peut très bien s'en sortir avec
d'autres navigateurs et courielleurs, ce que je commence à faire, à
cause (grâce ?) de Download.Ject.

3) Avant de le faire, je n'ai jamais eu une seule infection en 6 ans
d'Internet. Je n'utilise de firewall que depuis 1 an, et
toujours pas le moindre antivirus résident (seulement pour les
autres utilisateurs de la machine).

3) Les dernières mises à jour pour IE et OE 5.5 SP2 s'installent sur
W95. Je n'ai jamais cherché à installer IE6 car il n'apportait
rien de nouveau, à part des correctifs.

4) Je sais pas trop quel OS graphique je peux installer sur un 200 MHz
avec 64 Mo de RAM... Mais le plus gros problème, c'est celui de la
transposition des données.

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident.)
Contre la privatisation programmée d'EDF :
<http://www.energiepublique.org>

Frederic Bonroy, in <2kt39rF5mmpqU1@uni-berlin.de> :

- IE n'était pas encore intégré à Windows 95.

IE 4 si : il remplaçait le shell (Mise à jour du Bureau) de 95. IE 5
ne le faisait que s'il était installé sur un IE4 avec cette MAJ.

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident.)
Contre la privatisation programmée d'EDF :
<http://www.energiepublique.org>

Stephane Faure wrote:

LaDDL, in <40e9ce66$0$8203$79c14f64@nan-newsreader-06.noos.net> :

Tout le problème des OS de MS et plus largement des autres produits &
services de MS réside dans leur configuration par défaut.

Ah oui, comme pour Download.Ject, il suffit de tout désactiver dans
IE ?
Non suivre les conseils suivants :

http://www.microsoft.com/france/securite/incident/download_ject.asp

ou
http://www.k-otik.com/news/06252004.IIS0day.php

ou encore avoir installé depuis très longtemps l'utilitaire de PivX
Solutions qui protège contre ces attaques :
http://www.qwik-fix.net/

Y'a une solution encore plus sûre : ne pas aller sur le net.
:lol: C'est radicale et efficace.

Plus sérieusement une bonne maintenance de son environnement permet de
gérer ces risques.

Allez donc installer un Linux avec interface
graphique sur un 200 MHz, vous comprendrez pourquoi...

<troll detected>
<probabilité>99%</probabilité>
<comment>
P200mmx/64MoRAM
windowmaker
Apache+PHP+Mysql+pop+imap+proftp+smtp
Vitesse = comparable à 1 Win98se fraichement installé
</comment>
</troll detected>

--
Les fautes d'orthographes sont ma signature :-)
pour me répondre en BAL (mode antispam)
http://batman.dyndns.org/V2/Mail/?src=news.free

LaDDL, in <40e9e3da$0$28734$79c14f64@nan-newsreader-07.noos.net> :

Ah oui, comme pour Download.Ject, il suffit de tout désactiver dans
IE ?
Non suivre les conseils suivants :

http://www.microsoft.com/france/securite/incident/download_ject.asp

Voilà les inestimables conseils de MS pour "améliorer la sécurité de
votre navigation et de votre messagerie" (lien vers
http://www.microsoft.com/france/internet/ressources/dossiers/serenite/
default.asp) :

----------------------------------------------------------------------
Votre navigateur : une arme contre les virus (sic)

Les sites malveillants

Certaines pages Web déclenchent un téléchargement lors de leur
chargement, vérifiez le programme qui vous est proposé. En effet
certains sites proposent des contenus (vidéo, animations?) qui
nécessitent d?installer un composant additionnel (plugin) à votre
navigateur. Mais certaines pages n?hésitent pas à vous proposer de
télécharger des logiciels qui affichent des publicités sauvages,
modifient les préférences de votre navigateur sans que vous puissiez
les rétablir ou espionnent vos habitudes de navigation. Pour s?en
prémunir, il suffit de refuser ce téléchargement et de quitter le
site.

Optimisez les zones de sécurité d'Internet Explorer

Internet Explorer distingue plusieurs catégories de sites appelées «
zones de contenu Web ». Ces zones, définissent un ensemble de règles
concernant les actions qu?une page Web est autorisée à effectuer. Ces
zones sont au nombre de quatre :

? La zone sites sensibles interdit le téléchargement de fichiers et de
programmes. Les langages spécialisés tels Java et JavaScript sont
également désactivés.
? La zone sites de confiance autorise toutes ces actions.
? La zone Intranet local recense les sites de votre Intranet si votre
ordinateur fait partie d?un réseau local.
? La zone Internet, enfin, correspond à tout les sites qui ne sont pas
inscris dans les trois autres zones.

Pour ajouter un site Internet à une zone de contenu Web, affichez
l'onglet Sécurité de la boîte de dialogue Options Internet (via le
menu Outils d'Internet Explorer ou dans le Panneau de Configuration).
Sélectionnez l'une des quatre icônes symbolisant les zones de
confiance, puis cliquez sur le bouton Sites. Dans la boîte de dialogue
qui s'affiche, saisissez l'adresse du site dans le champ Ajouter ce
site Web à la zone, puis cliquez sur Ajouter.
----------------------------------------------------------------------

Voilà ce que c'est, la sérénité ! Mais si on a un peu le sentiment
d'être pris pour un con, on peut toujours se prendre pour une
entreprise et lire le bulletin d'alerte d'avril 2004 concernant OE
(http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/f
rance/technet/securite/info/ms04-013.html) avec des trucs marrants
comme :

----------------------------------------------------------------------
J'exécute Internet Explorer sur Windows Server 2003. Ceci limite-t-il
cette vulnérabilité ?

Non. Bien que, par défaut, Internet Explorer sur Windows Server 2003
s'exécute selon un mode restreint nommé Configuration de sécurité
améliorée, ceci ne réduit pas la vulnérabilité.

Je n'utilise pas Outlook Express pour lire mes messages ou participer
à des groupes de discussion. Suis-je concerné par cette
vulnérabilité ?

Oui. Puisque Outlook Express est installé par défaut, nos clients
courent un risque tant qu'ils n'ont pas appliqué cette mise à jour. Un
attaquant pourrait chercher à exploiter cette vulnérabilité via un
site Web malveillant ou un message HTML, même si Outlook Express n'est
pas votre lecteur de messagerie par défaut.

[...]

Quelle est la cause de cette vulnérabilité ?

Le traitement par Outlook Express des URL MIME Encapsulation of
Aggregate HTML (MHTML) <http://msdn.microsoft.com/library/en-
us/cdosys/html/_cdosys_mime_encapsulation_of_aggregate_html_documents_
mhtml_.asp> spécialement conçues.
----------------------------------------------------------------------

En passant, cette MAJ spécialement conçue fait planter mon OE 5.5 SP2
et m'oblige à bidouiller dans la BDR pour réparer les dégats...

ou
http://www.k-otik.com/news/06252004.IIS0day.php

C'est pas OU, c'est ET ! K-otik.com trouve les fonctionnalités à
désactiver à la place de MS, vous trouvez ça normal ?

ou encore avoir installé depuis très longtemps l'utilitaire de PivX
Solutions qui protège contre ces attaques :
http://www.qwik-fix.net/

Faut donner son mail juste pour un truc qui désactive quelques
fonctionnalités sensibles des logiciels MS ? Je préfère le faire à la
main.

Plus sérieusement une bonne maintenance de son environnement permet de
gérer ces risques.

Mouais... j'ai l'impression que pendant que Linux se simplifie,
Windows se fait de plus en plus pénible...

--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident.)
Contre la privatisation programmée d'EDF :
<http://www.energiepublique.org>

Stephane Faure wrote:

[...]

En passant,
Tu fais bien de le préciser. :lol:

cette MAJ spécialement conçue fait planter mon OE 5.5 SP2
et m'oblige à bidouiller dans la BDR pour réparer les dégats...
Je ne peux que recommander à tout utilisateur sous Windows d'apprendre à

utiliser sa BDR.

Tu es quand même d'accord avec moi que la gestion de la BDR n'est pas à
la portée de l'utilisateur lambda.

ou
http://www.k-otik.com/news/06252004.IIS0day.php

C'est pas OU, c'est ET !
Si tu veux. ;)

On va pas pinailler hein ?!

K-otik.com trouve les fonctionnalités à
désactiver à la place de MS, vous trouvez ça normal ?
Ils font de la recherche & veille en vulnérabilités.

Où est le problème ?

ou encore avoir installé depuis très longtemps l'utilitaire de PivX
Solutions qui protège contre ces attaques :
http://www.qwik-fix.net/

Faut donner son mail juste pour un truc qui désactive quelques
fonctionnalités sensibles des logiciels MS ?
Tu prends aucun risque en communiquant ton email à PivX Solutions.

Je préfère le faire à la
main.
Idem.

Mais penses qu'il y a plusieurs types d'utilisateurs avec des niveaux &
des usages complétement différents. C'est IMHO une très bonne solution.

Plus sérieusement une bonne maintenance de son environnement permet de
gérer ces risques.

Mouais...
Si si savoir gèrer son environnement c'est déjà une bonne gestion des

risques.

j'ai l'impression que pendant que Linux se simplifie,
Linux n'est pas simple pour l'utilisateur lambda. En outre, il s'ouvre

de plus en plus au grand public.

Windows se fait de plus en plus pénible...
Pourquoi ?!