Je vous invite à décompresser ce fichier (vide) avec votre logiciel
de décompression. En fonction du nom de fichier généré, vous saurez
si votre décompacteur est sensible à une faille de sécurité ou non :
http://www.acbm.com/inedits/divers/test.zip
Cette faille permet, par exemple, de cacher un fichier EXE vérolé dans
une archive sous un nom a priori innofensif en TXT ou BMP. Du coup, en
double-cliquant sur ce TXT ou BMP, l'utilisateur n'ouvrirait pas
l'application associée (par exemple Notepad ou Paintbrush), mais
exécuterait le virus EXE.
Stuffit Expander 7.0 ou Winrar 3.0 se laissent piéger.
Aucun problème avec Zip Magic 1, Winzip 8.1, Winace 2.04 et Winrar 3.2
(listes à compléter...)
Si pour une raison ou une autre vous ne pouvez pas évoluer vers un
logiciel sécurisé, ou par simple curiosité, voici un petit programme
qui vous permettra de vérifier si un fichier Zip a été "bidouillé"
ou non, en tapant en ligne de commande : scanzip nom_de_fichier.zip
http://www.acbm.com/inedits/divers/scanzip.cpp
Ce programme est fourni sans aucune prétention, vous pouvez le modifier
et l'améliorer (licence GPL http://www.gnu.org/licenses/gpl.html )...
ou le jetter ;)
Pas de problème avec PowerArchiver 8.6 et supérieurs.
J'ai Power Archier 2003 8.6.02 et il ne me signale pas le .exe. Il accepte de décompresser le fichier dans "notepad" (résultat: un point).
-- Peio
Olivier Aichelbaum
JacK wrote:
Pas de problème avec PowerArchiver 8.6 et supérieurs.
merci
Cette vulnérabilité a été signalée il y a un bout de temps (> 1 mois) sur Bugtraq ainsi qu'un POC.
Bitdefender avait envoyé un communiqué il y a plus longtemps encore à ce sujet (j'avais même du poster ça ici), mais j'avais du mal à y croire (je pensais aussi à une double extension au début...).
-- Olivier Aichelbaum
JacK wrote:
Pas de problème avec PowerArchiver 8.6 et supérieurs.
merci
Cette vulnérabilité a été signalée il y a un bout de temps (> 1 mois) sur
Bugtraq ainsi qu'un POC.
Bitdefender avait envoyé un communiqué il y a plus longtemps encore
à ce sujet (j'avais même du poster ça ici), mais j'avais du mal à y
croire (je pensais aussi à une double extension au début...).
Pas de problème avec PowerArchiver 8.6 et supérieurs.
merci
Cette vulnérabilité a été signalée il y a un bout de temps (> 1 mois) sur Bugtraq ainsi qu'un POC.
Bitdefender avait envoyé un communiqué il y a plus longtemps encore à ce sujet (j'avais même du poster ça ici), mais j'avais du mal à y croire (je pensais aussi à une double extension au début...).
-- Olivier Aichelbaum
Olivier Aichelbaum
Peio wrote:
Pas de problème avec PowerArchiver 8.6 et supérieurs.
J'ai Power Archier 2003 8.6.02 et il ne me signale pas le .exe. Il accepte de décompresser le fichier dans "notepad" (résultat: un point).
Non, le zip de test est inoffensif : il contient un fichier TXT qui indique si oui ou non la faille est détectée.
-- Olivier Aichelbaum
Peio wrote:
Pas de problème avec PowerArchiver 8.6 et supérieurs.
J'ai Power Archier 2003 8.6.02 et il ne me signale pas le .exe.
Il accepte de décompresser le fichier dans "notepad" (résultat: un
point).
Non, le zip de test est inoffensif : il contient un fichier TXT qui
indique si oui ou non la faille est détectée.
Pas de problème avec PowerArchiver 8.6 et supérieurs.
J'ai Power Archier 2003 8.6.02 et il ne me signale pas le .exe. Il accepte de décompresser le fichier dans "notepad" (résultat: un point).
Non, le zip de test est inoffensif : il contient un fichier TXT qui indique si oui ou non la faille est détectée.
-- Olivier Aichelbaum
Peio
Olivier Aichelbaum a écrit:
Peio wrote:
Pas de problème avec PowerArchiver 8.6 et supérieurs.
J'ai Power Archier 2003 8.6.02 et il ne me signale pas le .exe. Il accepte de décompresser le fichier dans "notepad" (résultat: un point).
Non, le zip de test est inoffensif : il contient un fichier TXT qui indique si oui ou non la faille est détectée.
Oui, je m'en doutais (sinon je n'aurais pas tenté de l'ouvrir).
Ce que tente de vous dire, c'est qu'à aucun moment Power Archiver ne signale le .exe et que si vous cliquez dessus, il ouvre benoîtement le fichier décompressé dans Notepad, sans rien dire.
Maintenant, si c'est un bête fichier texte zipé comme les autres, c'est normal :)
-- Peio
Olivier Aichelbaum a écrit:
Peio wrote:
Pas de problème avec PowerArchiver 8.6 et supérieurs.
J'ai Power Archier 2003 8.6.02 et il ne me signale pas le .exe.
Il accepte de décompresser le fichier dans "notepad" (résultat: un
point).
Non, le zip de test est inoffensif : il contient un fichier TXT qui
indique si oui ou non la faille est détectée.
Oui, je m'en doutais (sinon je n'aurais pas tenté de l'ouvrir).
Ce que tente de vous dire, c'est qu'à aucun moment Power Archiver ne
signale le .exe et que si vous cliquez dessus, il ouvre benoîtement le
fichier décompressé dans Notepad, sans rien dire.
Maintenant, si c'est un bête fichier texte zipé comme les autres, c'est
normal :)
Pas de problème avec PowerArchiver 8.6 et supérieurs.
J'ai Power Archier 2003 8.6.02 et il ne me signale pas le .exe. Il accepte de décompresser le fichier dans "notepad" (résultat: un point).
Non, le zip de test est inoffensif : il contient un fichier TXT qui indique si oui ou non la faille est détectée.
Oui, je m'en doutais (sinon je n'aurais pas tenté de l'ouvrir).
Ce que tente de vous dire, c'est qu'à aucun moment Power Archiver ne signale le .exe et que si vous cliquez dessus, il ouvre benoîtement le fichier décompressé dans Notepad, sans rien dire.
Maintenant, si c'est un bête fichier texte zipé comme les autres, c'est normal :)
-- Peio
JacK
sur les news:, Peio <pierre.aubineau_retirez_ç signalait:
Olivier Aichelbaum a écrit:
Peio wrote:
Pas de problème avec PowerArchiver 8.6 et supérieurs.
J'ai Power Archier 2003 8.6.02 et il ne me signale pas le .exe. Il accepte de décompresser le fichier dans "notepad" (résultat: un point).
Non, le zip de test est inoffensif : il contient un fichier TXT qui indique si oui ou non la faille est détectée.
Oui, je m'en doutais (sinon je n'aurais pas tenté de l'ouvrir).
Ce que tente de vous dire, c'est qu'à aucun moment Power Archiver ne signale le .exe et que si vous cliquez dessus, il ouvre benoîtement le fichier décompressé dans Notepad, sans rien dire.
Maintenant, si c'est un bête fichier texte zipé comme les autres, c'est normal :)
Pourquoi voudrais-tu qu'il te signale quelque chose, il décompresse, point.
Le nom du .txt change selon que l'outil utilisé soit ou non sensible à la faille, c'est tout. Quelqu'un a-t-il fait le test avec l'outil natif de Win XP et ou Win Me ? -- JacK
sur les news:7uqp20dal7iuefecqtns1vedljge89m79v@4ax.com,
Peio <pierre.aubineau_retirez_ça@free.fr> signalait:
Olivier Aichelbaum a écrit:
Peio wrote:
Pas de problème avec PowerArchiver 8.6 et supérieurs.
J'ai Power Archier 2003 8.6.02 et il ne me signale pas le .exe.
Il accepte de décompresser le fichier dans "notepad" (résultat: un
point).
Non, le zip de test est inoffensif : il contient un fichier TXT qui
indique si oui ou non la faille est détectée.
Oui, je m'en doutais (sinon je n'aurais pas tenté de l'ouvrir).
Ce que tente de vous dire, c'est qu'à aucun moment Power Archiver ne
signale le .exe et que si vous cliquez dessus, il ouvre benoîtement le
fichier décompressé dans Notepad, sans rien dire.
Maintenant, si c'est un bête fichier texte zipé comme les autres,
c'est normal :)
Pourquoi voudrais-tu qu'il te signale quelque chose, il décompresse, point.
Le nom du .txt change selon que l'outil utilisé soit ou non sensible à la
faille, c'est tout.
Quelqu'un a-t-il fait le test avec l'outil natif de Win XP et ou Win Me ?
--
JacK
sur les news:, Peio <pierre.aubineau_retirez_ç signalait:
Olivier Aichelbaum a écrit:
Peio wrote:
Pas de problème avec PowerArchiver 8.6 et supérieurs.
J'ai Power Archier 2003 8.6.02 et il ne me signale pas le .exe. Il accepte de décompresser le fichier dans "notepad" (résultat: un point).
Non, le zip de test est inoffensif : il contient un fichier TXT qui indique si oui ou non la faille est détectée.
Oui, je m'en doutais (sinon je n'aurais pas tenté de l'ouvrir).
Ce que tente de vous dire, c'est qu'à aucun moment Power Archiver ne signale le .exe et que si vous cliquez dessus, il ouvre benoîtement le fichier décompressé dans Notepad, sans rien dire.
Maintenant, si c'est un bête fichier texte zipé comme les autres, c'est normal :)
Pourquoi voudrais-tu qu'il te signale quelque chose, il décompresse, point.
Le nom du .txt change selon que l'outil utilisé soit ou non sensible à la faille, c'est tout. Quelqu'un a-t-il fait le test avec l'outil natif de Win XP et ou Win Me ? -- JacK
Peio
JacK a écrit:
Pourquoi voudrais-tu qu'il te signale quelque chose, il décompresse, point.
Par exemple :
(Message-ID: <c0ikqt$g97$)
----------- "J'ai essayé avec UltimateZip 2.7.1 (pas bon) Avec le menu contextuelle (clic droit sur le fichier) "Extract to here", le fichier décompesser se nome : faille_detecté_!.txt. En mode drag & drop (en ouvrant l'archive avec UltimateZip et en glissant le fichier sur le bureau), le programme indique une erreur comme quoi il lui est impossible de lire l'archive. ----------- -- Peio
JacK a écrit:
Pourquoi voudrais-tu qu'il te signale quelque chose, il décompresse, point.
-----------
"J'ai essayé avec UltimateZip 2.7.1 (pas bon)
Avec le menu contextuelle (clic droit sur le fichier) "Extract to here",
le fichier décompesser se nome : faille_detecté_!.txt.
En mode drag & drop (en ouvrant l'archive avec UltimateZip et en
glissant le fichier sur le bureau), le programme indique une erreur
comme quoi il lui est impossible de lire l'archive.
-----------
--
Peio
Pourquoi voudrais-tu qu'il te signale quelque chose, il décompresse, point.
Par exemple :
(Message-ID: <c0ikqt$g97$)
----------- "J'ai essayé avec UltimateZip 2.7.1 (pas bon) Avec le menu contextuelle (clic droit sur le fichier) "Extract to here", le fichier décompesser se nome : faille_detecté_!.txt. En mode drag & drop (en ouvrant l'archive avec UltimateZip et en glissant le fichier sur le bureau), le programme indique une erreur comme quoi il lui est impossible de lire l'archive. ----------- -- Peio
J-P Louvet
"JacK" a écrit dans le message de news:
sur les news:, Peio <pierre.aubineau_retirez_ç signalait:
Quelqu'un a-t-il fait le test avec l'outil natif de Win XP et ou Win Me ?
XP voit bien logiciel_securise.txt. Idem pour Powerdesk 4
On Fri, 13 Feb 2004 13:08:29 +0100, Olivier Aichelbaum wrote:
A la suite d'une erreur d'encodage ou d'une malveillance, il est possible que le nom du fichier réellement compacté et celui qui apparaît dans le récapitulatif ne soient pas le même.
Donc si je comprends bien, le seul scénario dangereux est le suivant : un utilisateur ouvre le ZIP dans un désarchiveur graphique qui lui liste les fichiers (dont un "README.txt") et l'utilisateur double-clique sur le nom de fichier, lançant ainsi l'extraction et l'exécution du "README.exe" malveillant. C'est ça ?
Et au fait, personne n'a testé le désarchiveur intégré de XP et Me ?
Et au fait (bis), lors du scan du fichier, AVP voit bien le "faux" nom mais cela n'est pas vraiment important car cela n'affecte pas l'identification du contenu du fichier.
Nicob
On Fri, 13 Feb 2004 13:08:29 +0100, Olivier Aichelbaum wrote:
A la suite d'une erreur d'encodage ou d'une malveillance, il est
possible que le nom du fichier réellement compacté et celui qui
apparaît dans le récapitulatif ne soient pas le même.
Donc si je comprends bien, le seul scénario dangereux est le suivant : un
utilisateur ouvre le ZIP dans un désarchiveur graphique qui lui liste
les fichiers (dont un "README.txt") et l'utilisateur double-clique sur le
nom de fichier, lançant ainsi l'extraction et l'exécution du
"README.exe" malveillant. C'est ça ?
Et au fait, personne n'a testé le désarchiveur intégré de XP et Me ?
Et au fait (bis), lors du scan du fichier, AVP voit bien le "faux" nom
mais cela n'est pas vraiment important car cela n'affecte pas
l'identification du contenu du fichier.
On Fri, 13 Feb 2004 13:08:29 +0100, Olivier Aichelbaum wrote:
A la suite d'une erreur d'encodage ou d'une malveillance, il est possible que le nom du fichier réellement compacté et celui qui apparaît dans le récapitulatif ne soient pas le même.
Donc si je comprends bien, le seul scénario dangereux est le suivant : un utilisateur ouvre le ZIP dans un désarchiveur graphique qui lui liste les fichiers (dont un "README.txt") et l'utilisateur double-clique sur le nom de fichier, lançant ainsi l'extraction et l'exécution du "README.exe" malveillant. C'est ça ?
Et au fait, personne n'a testé le désarchiveur intégré de XP et Me ?
Et au fait (bis), lors du scan du fichier, AVP voit bien le "faux" nom mais cela n'est pas vraiment important car cela n'affecte pas l'identification du contenu du fichier.
Nicob
Nicob
On Fri, 13 Feb 2004 18:13:48 +0100, J-P Louvet wrote:
XP voit bien logiciel_securise.txt.
Je venais juste de re-poser la question un peu au dessus. Merci de la réponse !
Nicob
On Fri, 13 Feb 2004 18:13:48 +0100, J-P Louvet wrote:
XP voit bien logiciel_securise.txt.
Je venais juste de re-poser la question un peu au dessus.
Merci de la réponse !
On Fri, 13 Feb 2004 18:13:48 +0100, J-P Louvet wrote:
XP voit bien logiciel_securise.txt.
Je venais juste de re-poser la question un peu au dessus. Merci de la réponse !
Nicob
Roland Garcia
"Olivier Aichelbaum" a écrit dans le message news: 402c25ba$0$28275$
Si pour une raison ou une autre vous ne pouvez pas évoluer vers un logiciel sécurisé, ou par simple curiosité, voici un petit programme qui vous permettra de vérifier si un fichier Zip a été "bidouillé" ou non, en tapant en ligne de commande : scanzip nom_de_fichier.zip
euh... c'est ça ton antivirus en GPL ?
Je ne vois toujours pas le rapport entre cette vulnérabilité et les anti-virus ......
Roland Garcia
"Olivier Aichelbaum" <acbm@acbm.com> a écrit dans le message news:
402c25ba$0$28275$636a15ce@news.free.fr
Si pour une raison ou une autre vous ne pouvez pas évoluer vers un
logiciel sécurisé, ou par simple curiosité, voici un petit programme
qui vous permettra de vérifier si un fichier Zip a été "bidouillé"
ou non, en tapant en ligne de commande : scanzip nom_de_fichier.zip
euh... c'est ça ton antivirus en GPL ?
Je ne vois toujours pas le rapport entre cette vulnérabilité et les
anti-virus ......
"Olivier Aichelbaum" a écrit dans le message news: 402c25ba$0$28275$
Si pour une raison ou une autre vous ne pouvez pas évoluer vers un logiciel sécurisé, ou par simple curiosité, voici un petit programme qui vous permettra de vérifier si un fichier Zip a été "bidouillé" ou non, en tapant en ligne de commande : scanzip nom_de_fichier.zip
euh... c'est ça ton antivirus en GPL ?
Je ne vois toujours pas le rapport entre cette vulnérabilité et les anti-virus ......
