Je vous invite à décompresser ce fichier (vide) avec votre logiciel
de décompression. En fonction du nom de fichier généré, vous saurez
si votre décompacteur est sensible à une faille de sécurité ou non :
http://www.acbm.com/inedits/divers/test.zip
Cette faille permet, par exemple, de cacher un fichier EXE vérolé dans
une archive sous un nom a priori innofensif en TXT ou BMP. Du coup, en
double-cliquant sur ce TXT ou BMP, l'utilisateur n'ouvrirait pas
l'application associée (par exemple Notepad ou Paintbrush), mais
exécuterait le virus EXE.
Stuffit Expander 7.0 ou Winrar 3.0 se laissent piéger.
Aucun problème avec Zip Magic 1, Winzip 8.1, Winace 2.04 et Winrar 3.2
(listes à compléter...)
Si pour une raison ou une autre vous ne pouvez pas évoluer vers un
logiciel sécurisé, ou par simple curiosité, voici un petit programme
qui vous permettra de vérifier si un fichier Zip a été "bidouillé"
ou non, en tapant en ligne de commande : scanzip nom_de_fichier.zip
http://www.acbm.com/inedits/divers/scanzip.cpp
Ce programme est fourni sans aucune prétention, vous pouvez le modifier
et l'améliorer (licence GPL http://www.gnu.org/licenses/gpl.html )...
ou le jetter ;)
faut dire aussi que j'ai pas de bol... je n'ai que des softs "non-vulnérables" (faudrait que je regarde sur mes CDs si j'ai pas un vieux winzip de 3 ou 4 ans d'âge)
Mon intention n'est pas de voler au secours de qui que ce soit, mais de rappeler qu'il s'agit d'une faille qui touche certains logiciels
de facto
décompactage. Ce n'est peut-être pas une faille aussi splendide que la fameuse faille MIME, mais c'en est une quand-même, même si elle est partiellement psychologique.
dans ce cas, il aurait été plus constructif d'établir une liste des archiveurs vulnérables (produit, version) et/ou de ceux non vulnérables
mais un titre tel que «fichier zip: danger !» me semble bien... excessif
@tchao
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message news:
c0lkgr$16dd4h$1@ID-75150.news.uni-berlin.de
faut dire aussi que j'ai pas de bol... je n'ai que des softs
"non-vulnérables"
(faudrait que je regarde sur mes CDs si j'ai pas un vieux winzip de
3 ou 4 ans d'âge)
Mon intention n'est pas de voler au secours de qui que ce soit, mais
de rappeler qu'il s'agit d'une faille qui touche certains logiciels
de facto
décompactage. Ce n'est peut-être pas une faille aussi splendide que la
fameuse faille MIME, mais c'en est une quand-même, même si elle est
partiellement psychologique.
dans ce cas, il aurait été plus constructif d'établir une liste des
archiveurs vulnérables (produit, version) et/ou de ceux non vulnérables
mais un titre tel que «fichier zip: danger !» me semble bien... excessif
faut dire aussi que j'ai pas de bol... je n'ai que des softs "non-vulnérables" (faudrait que je regarde sur mes CDs si j'ai pas un vieux winzip de 3 ou 4 ans d'âge)
Mon intention n'est pas de voler au secours de qui que ce soit, mais de rappeler qu'il s'agit d'une faille qui touche certains logiciels
de facto
décompactage. Ce n'est peut-être pas une faille aussi splendide que la fameuse faille MIME, mais c'en est une quand-même, même si elle est partiellement psychologique.
dans ce cas, il aurait été plus constructif d'établir une liste des archiveurs vulnérables (produit, version) et/ou de ceux non vulnérables
mais un titre tel que «fichier zip: danger !» me semble bien... excessif
@tchao
Frederic Bonroy
djehuti wrote:
dans ce cas, il aurait été plus constructif d'établir une liste des archiveurs vulnérables (produit, version) et/ou de ceux non vulnérables
C'est ce qui a été fait dans ce fil.
mais un titre tel que «fichier zip: danger !» me semble bien... excessif
Il y a le mot "potentiel" dans le titre.
djehuti wrote:
dans ce cas, il aurait été plus constructif d'établir une liste des
archiveurs vulnérables (produit, version) et/ou de ceux non vulnérables
C'est ce qui a été fait dans ce fil.
mais un titre tel que «fichier zip: danger !» me semble bien... excessif
dans ce cas, il aurait été plus constructif d'établir une liste des archiveurs vulnérables (produit, version) et/ou de ceux non vulnérables
C'est ce qui a été fait dans ce fil.
mais un titre tel que «fichier zip: danger !» me semble bien... excessif
Il y a le mot "potentiel" dans le titre.
Olivier Aichelbaum
Frederic Bonroy wrote:
dans ce cas, il aurait été plus constructif d'établir une liste des archiveurs vulnérables (produit, version) et/ou de ceux non vulnérables
C'est ce qui a été fait dans ce fil.
Merci.
J'avais indiqué des noms de décompacteurs vulnérables, ou pas, dès mon premier post. Il serait plus constructif de sa part de complèter la liste plutôt que de raler dans le vide.
Note : à ce moment-là, je ne savais pas que les antivirus n'avaient pas tous pris en compte le problème. Il y a donc peut être encore des choses à découvrir de ce côté, pas abordé dans mon post initial.
-- Olivier Aichelbaum
Frederic Bonroy wrote:
dans ce cas, il aurait été plus constructif d'établir une liste des
archiveurs vulnérables (produit, version) et/ou de ceux non vulnérables
C'est ce qui a été fait dans ce fil.
Merci.
J'avais indiqué des noms de décompacteurs vulnérables, ou pas, dès mon
premier post. Il serait plus constructif de sa part de complèter la
liste plutôt que de raler dans le vide.
Note : à ce moment-là, je ne savais pas que les antivirus n'avaient pas
tous pris en compte le problème. Il y a donc peut être encore des choses
à découvrir de ce côté, pas abordé dans mon post initial.
dans ce cas, il aurait été plus constructif d'établir une liste des archiveurs vulnérables (produit, version) et/ou de ceux non vulnérables
C'est ce qui a été fait dans ce fil.
Merci.
J'avais indiqué des noms de décompacteurs vulnérables, ou pas, dès mon premier post. Il serait plus constructif de sa part de complèter la liste plutôt que de raler dans le vide.
Note : à ce moment-là, je ne savais pas que les antivirus n'avaient pas tous pris en compte le problème. Il y a donc peut être encore des choses à découvrir de ce côté, pas abordé dans mon post initial.
-- Olivier Aichelbaum
JacK
sur les news:,
Pour uen fois que OA est parfaitement en charte... Son post et son POC m'ont paru intéressants, même si la vulnérabilité est connue et pratiquement pas exploitée à ma connaissance, c'est une de ses premières contributions à m'avoir intéressé. -- JacK
sur les news:912131327.20040214172115@yahoo.com,
Pour uen fois que OA est parfaitement en charte...
Son post et son POC m'ont paru intéressants, même si la vulnérabilité est
connue et pratiquement pas exploitée à ma connaissance,
c'est une de ses premières contributions à m'avoir intéressé.
--
JacK
Pour uen fois que OA est parfaitement en charte... Son post et son POC m'ont paru intéressants, même si la vulnérabilité est connue et pratiquement pas exploitée à ma connaissance, c'est une de ses premières contributions à m'avoir intéressé. -- JacK
djehuti
"Olivier Aichelbaum" a écrit dans le message news: 402e62f3$0$28274$
J'avais indiqué des noms de décompacteurs vulnérables, ou pas, dès mon premier post. Il serait plus constructif de sa part de complèter la liste plutôt que de raler dans le vide.
tu continues à racconter des conneries du genre: «il [le fichier] va se lancer au décompactage»
alors, je continue à "raler dans le vide" *eg*
@tchao
"Olivier Aichelbaum" <acbm@acbm.com> a écrit dans le message news:
402e62f3$0$28274$636a15ce@news.free.fr
J'avais indiqué des noms de décompacteurs vulnérables, ou pas, dès mon
premier post. Il serait plus constructif de sa part de complèter la
liste plutôt que de raler dans le vide.
tu continues à racconter des conneries du genre:
«il [le fichier] va se lancer au décompactage»
"Olivier Aichelbaum" a écrit dans le message news: 402e62f3$0$28274$
J'avais indiqué des noms de décompacteurs vulnérables, ou pas, dès mon premier post. Il serait plus constructif de sa part de complèter la liste plutôt que de raler dans le vide.
tu continues à racconter des conneries du genre: «il [le fichier] va se lancer au décompactage»
alors, je continue à "raler dans le vide" *eg*
@tchao
Frederic Bonroy
djehuti wrote:
tu continues à racconter des conneries du genre: «il [le fichier] va se lancer au décompactage»
C'est le cas.
Il est lancé car l'utilisateur a cliqué dessus. Bon, à priori ce n'est pas une faille, c'est le comportement qu'on attend. Mais *pourquoi* l'utilisateur a-t-il cliqué dessus? C'est justement ce pourquoi qui est au coeur du problème. Et contrairement aux Swen et Cie qui imitent des bulletins d'alerte de Microsoft, même en pratiquant le safe hex et en étant prudent, on peut se faire avoir.
djehuti wrote:
tu continues à racconter des conneries du genre:
«il [le fichier] va se lancer au décompactage»
C'est le cas.
Il est lancé car l'utilisateur a cliqué dessus. Bon, à priori ce n'est
pas une faille, c'est le comportement qu'on attend. Mais *pourquoi*
l'utilisateur a-t-il cliqué dessus? C'est justement ce pourquoi qui est
au coeur du problème. Et contrairement aux Swen et Cie qui imitent des
bulletins d'alerte de Microsoft, même en pratiquant le safe hex et en
étant prudent, on peut se faire avoir.
tu continues à racconter des conneries du genre: «il [le fichier] va se lancer au décompactage»
C'est le cas.
Il est lancé car l'utilisateur a cliqué dessus. Bon, à priori ce n'est pas une faille, c'est le comportement qu'on attend. Mais *pourquoi* l'utilisateur a-t-il cliqué dessus? C'est justement ce pourquoi qui est au coeur du problème. Et contrairement aux Swen et Cie qui imitent des bulletins d'alerte de Microsoft, même en pratiquant le safe hex et en étant prudent, on peut se faire avoir.
Frederic Bonroy
J'ai écrit:
djehuti wrote:
tu continues à racconter des conneries du genre: «il [le fichier] va se lancer au décompactage»
C'est le cas.
Il me semble qu'il y a confusion quant à la signification de ce fameux "lancement au décompactage".
Il y a le décompactage "normal", qui ne lance rien mais qui crée simplement de nouveaux fichiers sur le disque. Mais ce n'est pas de ça qu'on parle! Ce dont on parle, c'est l'extraction *ayant pour but* l'exécution - bref, lorsqu'on traite un fichier ZIP comme un dossier conventionnel.
J'ai écrit:
djehuti wrote:
tu continues à racconter des conneries du genre:
«il [le fichier] va se lancer au décompactage»
C'est le cas.
Il me semble qu'il y a confusion quant à la signification de ce fameux
"lancement au décompactage".
Il y a le décompactage "normal", qui ne lance rien mais qui crée
simplement de nouveaux fichiers sur le disque. Mais ce n'est pas de ça
qu'on parle! Ce dont on parle, c'est l'extraction *ayant pour but*
l'exécution - bref, lorsqu'on traite un fichier ZIP comme un dossier
conventionnel.
tu continues à racconter des conneries du genre: «il [le fichier] va se lancer au décompactage»
C'est le cas.
Il me semble qu'il y a confusion quant à la signification de ce fameux "lancement au décompactage".
Il y a le décompactage "normal", qui ne lance rien mais qui crée simplement de nouveaux fichiers sur le disque. Mais ce n'est pas de ça qu'on parle! Ce dont on parle, c'est l'extraction *ayant pour but* l'exécution - bref, lorsqu'on traite un fichier ZIP comme un dossier conventionnel.
Roland Garcia
djehuti wrote:
Il va se lancer au décompactage alors que la personne croit ouvrir un simple TXT.
hein ???
c'est plus que flou... cette affirmation
"il va se lancer au décompactage" ... t'es sûr de ça ?
Le problème a été décrit plus haut : prenons un logiciel qui a la faille, par exemple Winrar 3.0. Cliquons sur un ZIP piégé, la liste des fichiers apparait dans la fenêtre. Cliquons sur le "faux" TXT, c'est le virus EXE qui est lancé, pas Notepad !
Or le fichier ZIP aura pourtant été déclaré sain, par exemple, par Fprot DOS qui n'aura scanné que les extensions exécutables.
Non, il y aura d'abord création d'un fichier temporaire exécutable visible par tous les moniteurs anti-virus (même si leurs scanners ne détectent rien).
C'est une faille réelle qui concerne clairement les logiciels d'archivages, et partiellement quelques anti-virus. C'est du même ordre que le masquage par défaut des extensions dans Windows.
Roland Garcia
djehuti wrote:
Il va se lancer au décompactage alors que la personne croit
ouvrir un simple TXT.
hein ???
c'est plus que flou... cette affirmation
"il va se lancer au décompactage" ... t'es sûr de ça ?
Le problème a été décrit plus haut : prenons un logiciel qui a la
faille, par exemple Winrar 3.0. Cliquons sur un ZIP piégé, la liste
des fichiers apparait dans la fenêtre. Cliquons sur le "faux" TXT,
c'est le virus EXE qui est lancé, pas Notepad !
Or le fichier ZIP aura pourtant été déclaré sain, par exemple, par
Fprot DOS qui n'aura scanné que les extensions exécutables.
Non, il y aura d'abord création d'un fichier temporaire exécutable
visible par tous les moniteurs anti-virus (même si leurs scanners ne
détectent rien).
C'est une faille réelle qui concerne clairement les logiciels
d'archivages, et partiellement quelques anti-virus. C'est du même ordre
que le masquage par défaut des extensions dans Windows.
Il va se lancer au décompactage alors que la personne croit ouvrir un simple TXT.
hein ???
c'est plus que flou... cette affirmation
"il va se lancer au décompactage" ... t'es sûr de ça ?
Le problème a été décrit plus haut : prenons un logiciel qui a la faille, par exemple Winrar 3.0. Cliquons sur un ZIP piégé, la liste des fichiers apparait dans la fenêtre. Cliquons sur le "faux" TXT, c'est le virus EXE qui est lancé, pas Notepad !
Or le fichier ZIP aura pourtant été déclaré sain, par exemple, par Fprot DOS qui n'aura scanné que les extensions exécutables.
Non, il y aura d'abord création d'un fichier temporaire exécutable visible par tous les moniteurs anti-virus (même si leurs scanners ne détectent rien).
C'est une faille réelle qui concerne clairement les logiciels d'archivages, et partiellement quelques anti-virus. C'est du même ordre que le masquage par défaut des extensions dans Windows.
Roland Garcia
Roland Garcia
Il me semble qu'il y a confusion quant à la signification de ce fameux "lancement au décompactage".
Il y a le décompactage "normal", qui ne lance rien mais qui crée simplement de nouveaux fichiers sur le disque. Mais ce n'est pas de ça qu'on parle! Ce dont on parle, c'est l'extraction *ayant pour but* l'exécution - bref, lorsqu'on traite un fichier ZIP comme un dossier conventionnel.
Cela revient à le décompacter et le lancer dans la foulée, il sera donc détecté.
Roland Garcia
Il me semble qu'il y a confusion quant à la signification de ce fameux
"lancement au décompactage".
Il y a le décompactage "normal", qui ne lance rien mais qui crée
simplement de nouveaux fichiers sur le disque. Mais ce n'est pas de ça
qu'on parle! Ce dont on parle, c'est l'extraction *ayant pour but*
l'exécution - bref, lorsqu'on traite un fichier ZIP comme un dossier
conventionnel.
Cela revient à le décompacter et le lancer dans la foulée, il sera donc
détecté.
Il me semble qu'il y a confusion quant à la signification de ce fameux "lancement au décompactage".
Il y a le décompactage "normal", qui ne lance rien mais qui crée simplement de nouveaux fichiers sur le disque. Mais ce n'est pas de ça qu'on parle! Ce dont on parle, c'est l'extraction *ayant pour but* l'exécution - bref, lorsqu'on traite un fichier ZIP comme un dossier conventionnel.
Cela revient à le décompacter et le lancer dans la foulée, il sera donc détecté.
Roland Garcia
Frederic Bonroy
Roland Garcia wrote:
Cela revient à le décompacter et le lancer dans la foulée, il sera donc détecté.
Pas quand on n'utilise pas de moniteur, comme c'est mon cas par exemple. :-)
Roland Garcia wrote:
Cela revient à le décompacter et le lancer dans la foulée, il sera donc
détecté.
Pas quand on n'utilise pas de moniteur, comme c'est mon cas par exemple. :-)
