Et le bugtraq qui va avec: http://www.securityfocus.com/archive/1/365293/2004-06-06/2004-06-12/2
Bon surf!
Le site recommande de désactiver l'active scripting pour les sites qui ne sont pas en zone de confiance. Certes.
On peut aussi, pour les PC standalone (= sans réseau interne) ajuster le niveau de sécurité de la zone "Intranet local" et le mettre au niveau "Elevé". Ainsi, la page d'aide locale, décrite dans l'article cité (lien 1), est exécutée sans que l'active-scripting soit activé.
Ce réglage protège aussi d'un autre bug, celui de la "page inexistante" qui provoque l'affichage d'une page prise sur le DD. Et, quand l'utilisateur appuie sur le bouton "revenir en arrière", c'est le niveau de sécurité de cette page locale qui est appliqué (c'est là le bug).
Enfin, une solution générale, qui était gratuite mais est devenue payante, l'emploi de "Finjan SurfinGuard Pro", qui laisse s'exécuter les scripts dans un "bac à sable" et les bloque s'ils tentent quelque chose de non permis (comme écrire sur le DD, par exemple). Ceci doit pouvoir protéger a priori de tous les scripts "malicieux".
-- Michel Nallino aka WinTerMiNator http://www.chez.com/winterminator (Internet et sécurité: comment surfer en paix) http://www.gnupgwin.fr.st (GnuPG pour Windows) Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
Xavier Roche wrote:
Mais cette fois-ci avec un exploit qui est sorti avant le patch
(dommage)
Et le bugtraq qui va avec:
http://www.securityfocus.com/archive/1/365293/2004-06-06/2004-06-12/2
Bon surf!
Le site recommande de désactiver l'active scripting pour les sites qui ne
sont pas en zone de confiance. Certes.
On peut aussi, pour les PC standalone (= sans réseau interne) ajuster le
niveau de sécurité de la zone "Intranet local" et le mettre au niveau
"Elevé". Ainsi, la page d'aide locale, décrite dans l'article cité (lien 1),
est exécutée sans que l'active-scripting soit activé.
Ce réglage protège aussi d'un autre bug, celui de la "page inexistante" qui
provoque l'affichage d'une page prise sur le DD. Et, quand l'utilisateur
appuie sur le bouton "revenir en arrière", c'est le niveau de sécurité de
cette page locale qui est appliqué (c'est là le bug).
Enfin, une solution générale, qui était gratuite mais est devenue payante,
l'emploi de "Finjan SurfinGuard Pro", qui laisse s'exécuter les scripts dans
un "bac à sable" et les bloque s'ils tentent quelque chose de non permis
(comme écrire sur le DD, par exemple). Ceci doit pouvoir protéger a priori
de tous les scripts "malicieux".
--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
Et le bugtraq qui va avec: http://www.securityfocus.com/archive/1/365293/2004-06-06/2004-06-12/2
Bon surf!
Le site recommande de désactiver l'active scripting pour les sites qui ne sont pas en zone de confiance. Certes.
On peut aussi, pour les PC standalone (= sans réseau interne) ajuster le niveau de sécurité de la zone "Intranet local" et le mettre au niveau "Elevé". Ainsi, la page d'aide locale, décrite dans l'article cité (lien 1), est exécutée sans que l'active-scripting soit activé.
Ce réglage protège aussi d'un autre bug, celui de la "page inexistante" qui provoque l'affichage d'une page prise sur le DD. Et, quand l'utilisateur appuie sur le bouton "revenir en arrière", c'est le niveau de sécurité de cette page locale qui est appliqué (c'est là le bug).
Enfin, une solution générale, qui était gratuite mais est devenue payante, l'emploi de "Finjan SurfinGuard Pro", qui laisse s'exécuter les scripts dans un "bac à sable" et les bloque s'ils tentent quelque chose de non permis (comme écrire sur le DD, par exemple). Ceci doit pouvoir protéger a priori de tous les scripts "malicieux".
-- Michel Nallino aka WinTerMiNator http://www.chez.com/winterminator (Internet et sécurité: comment surfer en paix) http://www.gnupgwin.fr.st (GnuPG pour Windows) Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
J-P Louvet
"Xavier Roche" a écrit dans le message de news:40c74523$0$21569$
Mais cette fois-ci avec un exploit qui est sorti avant le patch (dommage)
"J-P Louvet" wrote in message news:<cal614$537$...
"Xavier Roche" a écrit dans le message
Les failles ont été publliées le 6. J'ai une MAJ de Windows du 9. Est-il exact qu'elle ne corrige pas le problème ?
Merci pour vos informations éventuelles.
oui, le problème existe toujours, il n'y a pas de patch pour ces vulnérabilités. Je te conseille de faire un tour sur le site de k-otik, il y a tous les détails :
"J-P Louvet" <jpl67@wanad00.fr> wrote in message news:<cal614$537$1@news-reader3.wanadoo.fr>...
"Xavier Roche" <xroche@free.fr.NOSPAM.invalid> a écrit dans le message
Les failles ont été publliées le 6. J'ai une MAJ de Windows du 9. Est-il
exact qu'elle ne corrige pas le problème ?
Merci pour vos informations éventuelles.
oui, le problème existe toujours, il n'y a pas de patch pour ces
vulnérabilités. Je te conseille de faire un tour sur le site de
k-otik, il y a tous les détails :
"J-P Louvet" wrote in message news:<cal614$537$...
"Xavier Roche" a écrit dans le message
Les failles ont été publliées le 6. J'ai une MAJ de Windows du 9. Est-il exact qu'elle ne corrige pas le problème ?
Merci pour vos informations éventuelles.
oui, le problème existe toujours, il n'y a pas de patch pour ces vulnérabilités. Je te conseille de faire un tour sur le site de k-otik, il y a tous les détails :