4 nouvelles vulnérabilités sous IE, considérées "Extremely critical".
Notamment:
"It is possible to inject arbitrary script code into Channel links in Favorites, which will be executed when the Channel is added. The script code is executed in Local Security Zone context."
Solutions proposées: désactiver totalement active scripting, ou.. utiliser un autre produit.
Un doute subit m'étreint (c'est beau hein?): et si cette faille permettait d'exécuter du code arbitraire non pas seulement dans la zone "Local Zone" mais dans n'importe quelle zone au choix de l'auteur de la page malveillante?
A priori, je dirais non, car ce qui se passe avec les vulnérabilités décrites, c'est que le script se charge tout seul sur l'ordinateur victime, et du coup peut s'exécuter en passant pour un des fichiers de la machine (protocole file://). Je ne pense pas qu'il puisse se faire passer pour un site de confiance. Par contre, pour l'Intranet, c'est peut-être possible en balançant le script sur un lecteur réseau au lieu du disque local, et si l'option "Inclure tous les chemins d'accès au réseau (UNC)" est cochée dans les paramètres de sécurité Intranet (bouton "Sites"), il passerait donc pour de l'Intranet. Mais bon, je spécule, et ça serait bien d'avoir l'avis de spécialistes.
En passant, il me paraît sain de décocher toutes les options d'inclusion dans la zone Intranet, si on n'en utilise pas un.
-- Toute compétition sociale libre et éliminatoire tend à la formation de monopoles. (Norbert Elias, La dynamique de l'Occident.) Contre la privatisation programmée d'EDF : <http://www.energiepublique.org>
WinTerMiNator, in <2lqhhmFfn0vqU1@uni-berlin.de> :
Un doute subit m'étreint (c'est beau hein?): et si cette faille permettait
d'exécuter du code arbitraire non pas seulement dans la zone "Local Zone"
mais dans n'importe quelle zone au choix de l'auteur de la page
malveillante?
A priori, je dirais non, car ce qui se passe avec les vulnérabilités
décrites, c'est que le script se charge tout seul sur l'ordinateur
victime, et du coup peut s'exécuter en passant pour un des fichiers de
la machine (protocole file://). Je ne pense pas qu'il puisse se faire
passer pour un site de confiance. Par contre, pour l'Intranet, c'est
peut-être possible en balançant le script sur un lecteur réseau au
lieu du disque local, et si l'option "Inclure tous les chemins d'accès
au réseau (UNC)" est cochée dans les paramètres de sécurité Intranet
(bouton "Sites"), il passerait donc pour de l'Intranet. Mais bon, je
spécule, et ça serait bien d'avoir l'avis de spécialistes.
En passant, il me paraît sain de décocher toutes les options
d'inclusion dans la zone Intranet, si on n'en utilise pas un.
--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident.)
Contre la privatisation programmée d'EDF :
<http://www.energiepublique.org>
Un doute subit m'étreint (c'est beau hein?): et si cette faille permettait d'exécuter du code arbitraire non pas seulement dans la zone "Local Zone" mais dans n'importe quelle zone au choix de l'auteur de la page malveillante?
A priori, je dirais non, car ce qui se passe avec les vulnérabilités décrites, c'est que le script se charge tout seul sur l'ordinateur victime, et du coup peut s'exécuter en passant pour un des fichiers de la machine (protocole file://). Je ne pense pas qu'il puisse se faire passer pour un site de confiance. Par contre, pour l'Intranet, c'est peut-être possible en balançant le script sur un lecteur réseau au lieu du disque local, et si l'option "Inclure tous les chemins d'accès au réseau (UNC)" est cochée dans les paramètres de sécurité Intranet (bouton "Sites"), il passerait donc pour de l'Intranet. Mais bon, je spécule, et ça serait bien d'avoir l'avis de spécialistes.
En passant, il me paraît sain de décocher toutes les options d'inclusion dans la zone Intranet, si on n'en utilise pas un.
-- Toute compétition sociale libre et éliminatoire tend à la formation de monopoles. (Norbert Elias, La dynamique de l'Occident.) Contre la privatisation programmée d'EDF : <http://www.energiepublique.org>
omegatron
Pierre VG wrote:
WinTerMiNator a joyeusement tapoté (news:) dans fr.comp.securite:
Et ça marche pour tous les PC en standalone...
"standalone" ??? c'est-à-dire ?
"which stands alone" = tout seul dans son coin, c'est-à-dire pas relié à
un réseau.
-- omegatron --------- Please remove "-FORGET-IT-" part from my address to reply.
Pierre VG wrote:
WinTerMiNator a joyeusement tapoté (news:2lklqfFdviceU1@uni-berlin.de)
dans fr.comp.securite:
Et ça marche pour tous les PC en standalone...
"standalone" ???
c'est-à-dire ?
"which stands alone" = tout seul dans son coin, c'est-à-dire pas relié à
un réseau.
--
omegatron
---------
Please remove "-FORGET-IT-" part from my address to reply.
WinTerMiNator a joyeusement tapoté (news:) dans fr.comp.securite:
Et ça marche pour tous les PC en standalone...
"standalone" ??? c'est-à-dire ?
"which stands alone" = tout seul dans son coin, c'est-à-dire pas relié à
un réseau.
-- omegatron --------- Please remove "-FORGET-IT-" part from my address to reply.
Benjamin Pineau
Le 16 Jul 2004 23:45:56 GMT, Stephane Faure écrivais:
Pendant que vous y êtes, faites le aussi pour les .VBE (script Visual Basic codé), les .JS, les .JSE, les .BAT, et les .REG. Vérifiez aussi que l'option "Toujours afficher l'extension" et "Confirmer l'ouverture" est cochée pour tous les fichiers sensibles (en sus de ceux précités : .ZIP, .PIF, .EXE, .SCR, .DOC, .XLS, .PPT...). La FAQ
Existerai-t-il une doc regroupant les infos sur les paramètres à modifier dans la bdr pour obtenir ce résulat + les vérouillages de ie décris plus haut, et autres choses attenant à la sécurisation d'un poste windows via la bdr (ou autre méthode scriptable, pour application rapide à large echelle) ?
Le 16 Jul 2004 23:45:56 GMT,
Stephane Faure <mysterion@alussinan.org> écrivais:
Pendant que vous y êtes, faites le aussi pour les .VBE (script Visual
Basic codé), les .JS, les .JSE, les .BAT, et les .REG. Vérifiez aussi
que l'option "Toujours afficher l'extension" et "Confirmer
l'ouverture" est cochée pour tous les fichiers sensibles (en sus de
ceux précités : .ZIP, .PIF, .EXE, .SCR, .DOC, .XLS, .PPT...). La FAQ
Existerai-t-il une doc regroupant les infos sur les paramètres à
modifier dans la bdr pour obtenir ce résulat + les vérouillages de ie
décris plus haut, et autres choses attenant à la sécurisation d'un poste
windows via la bdr (ou autre méthode scriptable, pour application rapide
à large echelle) ?
Le 16 Jul 2004 23:45:56 GMT, Stephane Faure écrivais:
Pendant que vous y êtes, faites le aussi pour les .VBE (script Visual Basic codé), les .JS, les .JSE, les .BAT, et les .REG. Vérifiez aussi que l'option "Toujours afficher l'extension" et "Confirmer l'ouverture" est cochée pour tous les fichiers sensibles (en sus de ceux précités : .ZIP, .PIF, .EXE, .SCR, .DOC, .XLS, .PPT...). La FAQ
Existerai-t-il une doc regroupant les infos sur les paramètres à modifier dans la bdr pour obtenir ce résulat + les vérouillages de ie décris plus haut, et autres choses attenant à la sécurisation d'un poste windows via la bdr (ou autre méthode scriptable, pour application rapide à large echelle) ?
Comme c'est dit dans l'article, ces paramètres seront employés par tous les logiciels qui utilisent le moteur de rendu HTML de Microsoft pour leur propre contenu, notamment tous les fichiers d'aide en HTML (.HTM mais aussi et surtout .CHM), ce qui peut causer des ennuis du genre boites de dialogues. Et pour les exemples que j'ai eu à subir : l'aide d'Office, qui affiche un message signalant qu'à cause de la désactivation des ActiveX, la page risque d'être mal affichée (rien vu, moi...),
J'ai trouvé une soluce ici : <http://www.annoyances.org/exec/forum/win2000/1083198127>. Un autre éditeur de ressources, freeware, ici : <http://www.users.on.net/~johnson/resourcehacker/>. Attention, a priori, ce n'est pas légal, puisqu'on désassemble et recompile une partie du logiciel. Mais je ne connais pas d'autre moyen de contourner les ennuis des logiciels de Microsoft, sauf à s'en passer totalement. Aussi, j'espère que les modérateurs n'en feront pas cas.
-- Toute compétition sociale libre et éliminatoire tend à la formation de monopoles. (Norbert Elias, La dynamique de l'Occident.) Contre la privatisation programmée d'EDF : <http://www.energiepublique.org>
Stephane Faure, in <MPG.1b627298b290a8598a9bf@news.free.fr> :
Comme c'est dit dans l'article, ces paramètres seront employés par
tous les logiciels qui utilisent le moteur de rendu HTML de Microsoft
pour leur propre contenu, notamment tous les fichiers d'aide en HTML
(.HTM mais aussi et surtout .CHM), ce qui peut causer des ennuis du
genre boites de dialogues. Et pour les exemples que j'ai eu à subir :
l'aide d'Office, qui affiche un message signalant qu'à cause de la
désactivation des ActiveX, la page risque d'être mal affichée (rien
vu, moi...),
J'ai trouvé une soluce ici :
<http://www.annoyances.org/exec/forum/win2000/1083198127>. Un autre
éditeur de ressources, freeware, ici :
<http://www.users.on.net/~johnson/resourcehacker/>. Attention, a
priori, ce n'est pas légal, puisqu'on désassemble et recompile une
partie du logiciel. Mais je ne connais pas d'autre moyen de contourner
les ennuis des logiciels de Microsoft, sauf à s'en passer totalement.
Aussi, j'espère que les modérateurs n'en feront pas cas.
--
Toute compétition sociale libre et éliminatoire tend à la formation de
monopoles. (Norbert Elias, La dynamique de l'Occident.)
Contre la privatisation programmée d'EDF :
<http://www.energiepublique.org>
Comme c'est dit dans l'article, ces paramètres seront employés par tous les logiciels qui utilisent le moteur de rendu HTML de Microsoft pour leur propre contenu, notamment tous les fichiers d'aide en HTML (.HTM mais aussi et surtout .CHM), ce qui peut causer des ennuis du genre boites de dialogues. Et pour les exemples que j'ai eu à subir : l'aide d'Office, qui affiche un message signalant qu'à cause de la désactivation des ActiveX, la page risque d'être mal affichée (rien vu, moi...),
J'ai trouvé une soluce ici : <http://www.annoyances.org/exec/forum/win2000/1083198127>. Un autre éditeur de ressources, freeware, ici : <http://www.users.on.net/~johnson/resourcehacker/>. Attention, a priori, ce n'est pas légal, puisqu'on désassemble et recompile une partie du logiciel. Mais je ne connais pas d'autre moyen de contourner les ennuis des logiciels de Microsoft, sauf à s'en passer totalement. Aussi, j'espère que les modérateurs n'en feront pas cas.
-- Toute compétition sociale libre et éliminatoire tend à la formation de monopoles. (Norbert Elias, La dynamique de l'Occident.) Contre la privatisation programmée d'EDF : <http://www.energiepublique.org>
