"Cumbalero" a écrit dans le message de news: fst3n0$i9v$
http://minilien.com/?jvEjZFmNWP "Le portable sous Windows Vista a alors succombé, via une faille exploitée
dans le Flash Player d'Adobe"
Evidemment, c'est plus facile d'hacker un OS multimédia qui offre des logiciels tiers...
Je ne comprends pas ce que tu racontes. Flash est fourni avec Ubuntu, il est dans la liste des paquetages, alors qu'il semble que ce n'est pas le cas pour Windows Vista (à moins que ce soit une nouveauté du SP1 ?). Donc tu racontes n'importe quoi : c'est au contraire l'OS qui n'offre pas de logiciel tiers qui s'est fait misérablement hacker.
D'un autre côté, je me pose la question de la pertinence de cet "exploit", Flash n'étant justement pas fourni avec Windows. C'est donc amha Flash qui est problématique dans ce cas, et non Windows.
Et la vraie question, c'est de se demander s'il est normal que l'utilisation d'un navigateur puisse permettre de compromette l'intégrité d'un système.
D'un autre côté, les failles permettant l'escalade de privilège, ce n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux.
Thierry wrote:
"Cumbalero" <cumbalero@NOSPAM.yahoo.fr> a écrit dans le message de news:
fst3n0$i9v$1@writer.imaginet.fr...
http://minilien.com/?jvEjZFmNWP
"Le portable sous Windows Vista a alors succombé, via une faille exploitée
dans le Flash Player d'Adobe"
Evidemment, c'est plus facile d'hacker un OS multimédia qui offre des
logiciels tiers...
Je ne comprends pas ce que tu racontes. Flash est fourni avec Ubuntu, il est
dans la liste des paquetages, alors qu'il semble que ce n'est pas le cas
pour Windows Vista (à moins que ce soit une nouveauté du SP1 ?). Donc tu
racontes n'importe quoi : c'est au contraire l'OS qui n'offre pas de
logiciel tiers qui s'est fait misérablement hacker.
D'un autre côté, je me pose la question de la pertinence de cet
"exploit", Flash n'étant justement pas fourni avec Windows. C'est donc
amha Flash qui est problématique dans ce cas, et non Windows.
Et la vraie question, c'est de se demander s'il est normal que l'utilisation
d'un navigateur puisse permettre de compromette l'intégrité d'un système.
D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille
avec vmsplice sous Linux.
"Cumbalero" a écrit dans le message de news: fst3n0$i9v$
http://minilien.com/?jvEjZFmNWP "Le portable sous Windows Vista a alors succombé, via une faille exploitée
dans le Flash Player d'Adobe"
Evidemment, c'est plus facile d'hacker un OS multimédia qui offre des logiciels tiers...
Je ne comprends pas ce que tu racontes. Flash est fourni avec Ubuntu, il est dans la liste des paquetages, alors qu'il semble que ce n'est pas le cas pour Windows Vista (à moins que ce soit une nouveauté du SP1 ?). Donc tu racontes n'importe quoi : c'est au contraire l'OS qui n'offre pas de logiciel tiers qui s'est fait misérablement hacker.
D'un autre côté, je me pose la question de la pertinence de cet "exploit", Flash n'étant justement pas fourni avec Windows. C'est donc amha Flash qui est problématique dans ce cas, et non Windows.
Et la vraie question, c'est de se demander s'il est normal que l'utilisation d'un navigateur puisse permettre de compromette l'intégrité d'un système.
D'un autre côté, les failles permettant l'escalade de privilège, ce n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux.
Nicolas S.
Jerome Lambert <jerome.lambert_at_swing.be> a écrit:
D'un autre côté, les failles permettant l'escalade de privilège, ce n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux.
La question est: au bout de combien de temps y aura-t-il une correction pour la faille Windows/Flash?
-- Nicolas S.
Jerome Lambert <jerome.lambert_at_swing.be> a écrit:
D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la
faille avec vmsplice sous Linux.
La question est: au bout de combien de temps y aura-t-il une correction
pour la faille Windows/Flash?
Jerome Lambert <jerome.lambert_at_swing.be> a écrit:
D'un autre côté, les failles permettant l'escalade de privilège, ce n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux.
La question est: au bout de combien de temps y aura-t-il une correction pour la faille Windows/Flash?
-- Nicolas S.
Thierry B.
--{ Cumbalero a plopé ceci: }--
http://minilien.com/?jvEjZFmNWP
C'est bien les miniliens, ça te donne des passwords
assez aléatoires...
-- Trolling in progress... Trolling kernel module loaded ok. Unleashing all trollifering resources... Done. Autodetecting Prumpleffer... Done. Slrn fully loaded and ready to bombard all targets! Go for it!
--{ Cumbalero a plopé ceci: }--
http://minilien.com/?jvEjZFmNWP
C'est bien les miniliens, ça te donne des passwords
assez aléatoires...
--
Trolling in progress... Trolling kernel module loaded ok.
Unleashing all trollifering resources... Done.
Autodetecting Prumpleffer... Done.
Slrn fully loaded and ready to bombard all targets! Go for it!
C'est bien les miniliens, ça te donne des passwords
assez aléatoires...
-- Trolling in progress... Trolling kernel module loaded ok. Unleashing all trollifering resources... Done. Autodetecting Prumpleffer... Done. Slrn fully loaded and ready to bombard all targets! Go for it!
Je ne comprends pas ce que tu racontes. Flash est fourni avec Ubuntu, il est dans la liste des paquetages, alors qu'il semble que ce n'est pas le cas pour Windows Vista (à moins que ce soit une nouveauté du SP1 ?). Donc tu racontes n'importe quoi : c'est au contraire l'OS qui n'offre pas de logiciel tiers qui s'est fait misérablement hacker.
D'un autre côté, je me pose la question de la pertinence de cet "exploit", Flash n'étant justement pas fourni avec Windows. C'est donc amha Flash qui est problématique dans ce cas, et non Windows.
Si tu es allé sur le site de la compétition, tu as dû te rendre compte que c'était le dernier stade : utilisations d'applications tierces très courantes, mais non fournies avec le système de base. Tu remarqueras au passage que le dégommage de MacOSX n'a même pas nécessité d'applications tierces (un joli exploit de safari a visiblement été suffisant). Toujours est-il qu'à partir du moment où un logiciel équipe 80-90% des machines, la question de savoir s'il est fourni avec l'O.S. de base ou pas n'a plus guère d'importance...
Et la vraie question, c'est de se demander s'il est normal que l'utilisation d'un navigateur puisse permettre de compromette l'intégrité d'un système.
D'un autre côté, les failles permettant l'escalade de privilège, ce n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux.
Le but de la compétition étant justement d'exhiber de nouvelles failles, les O.S. disposaient bien entendu de tous les correctifs de sécurité, donc je ne vois pas pourquoi tu ramènes cette vieille histoire. Si de telles failles ne manquent pas, n'hésite pas à nous en donner quelques unes non connues :)
Je ne comprends pas ce que tu racontes. Flash est fourni avec Ubuntu, il
est dans la liste des paquetages, alors qu'il semble que ce n'est pas le
cas pour Windows Vista (à moins que ce soit une nouveauté du SP1 ?). Donc
tu racontes n'importe quoi : c'est au contraire l'OS qui n'offre pas de
logiciel tiers qui s'est fait misérablement hacker.
D'un autre côté, je me pose la question de la pertinence de cet
"exploit", Flash n'étant justement pas fourni avec Windows. C'est donc
amha Flash qui est problématique dans ce cas, et non Windows.
Si tu es allé sur le site de la compétition, tu as dû te rendre compte que
c'était le dernier stade : utilisations d'applications tierces très
courantes, mais non fournies avec le système de base. Tu remarqueras au
passage que le dégommage de MacOSX n'a même pas nécessité d'applications
tierces (un joli exploit de safari a visiblement été suffisant). Toujours
est-il qu'à partir du moment où un logiciel équipe 80-90% des machines, la
question de savoir s'il est fourni avec l'O.S. de base ou pas n'a plus
guère d'importance...
Et la vraie question, c'est de se demander s'il est normal que
l'utilisation d'un navigateur puisse permettre de compromette l'intégrité
d'un système.
D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille
avec vmsplice sous Linux.
Le but de la compétition étant justement d'exhiber de nouvelles failles, les
O.S. disposaient bien entendu de tous les correctifs de sécurité, donc je
ne vois pas pourquoi tu ramènes cette vieille histoire.
Si de telles failles ne manquent pas, n'hésite pas à nous en donner quelques
unes non connues :)
Je ne comprends pas ce que tu racontes. Flash est fourni avec Ubuntu, il est dans la liste des paquetages, alors qu'il semble que ce n'est pas le cas pour Windows Vista (à moins que ce soit une nouveauté du SP1 ?). Donc tu racontes n'importe quoi : c'est au contraire l'OS qui n'offre pas de logiciel tiers qui s'est fait misérablement hacker.
D'un autre côté, je me pose la question de la pertinence de cet "exploit", Flash n'étant justement pas fourni avec Windows. C'est donc amha Flash qui est problématique dans ce cas, et non Windows.
Si tu es allé sur le site de la compétition, tu as dû te rendre compte que c'était le dernier stade : utilisations d'applications tierces très courantes, mais non fournies avec le système de base. Tu remarqueras au passage que le dégommage de MacOSX n'a même pas nécessité d'applications tierces (un joli exploit de safari a visiblement été suffisant). Toujours est-il qu'à partir du moment où un logiciel équipe 80-90% des machines, la question de savoir s'il est fourni avec l'O.S. de base ou pas n'a plus guère d'importance...
Et la vraie question, c'est de se demander s'il est normal que l'utilisation d'un navigateur puisse permettre de compromette l'intégrité d'un système.
D'un autre côté, les failles permettant l'escalade de privilège, ce n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux.
Le but de la compétition étant justement d'exhiber de nouvelles failles, les O.S. disposaient bien entendu de tous les correctifs de sécurité, donc je ne vois pas pourquoi tu ramènes cette vieille histoire. Si de telles failles ne manquent pas, n'hésite pas à nous en donner quelques unes non connues :)
Et la vraie question, c'est de se demander s'il est normal que l'utilisation d'un navigateur puisse permettre de compromette l'intégrité d'un système. D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux.
Le but de la compétition étant justement d'exhiber de nouvelles failles, les O.S. disposaient bien entendu de tous les correctifs de sécurité, donc je ne vois pas pourquoi tu ramènes cette vieille histoire.
Relis ton message, j'ai justement laissé le passage intéressant, et ma remarque montrant que tous les OS sont susceptibles de se faire compromettre, avec un exemple sous Linux où un "simple" binaire suffisait pour compromettre le système.
Et la vraie question, c'est de se demander s'il est normal que
l'utilisation d'un navigateur puisse permettre de compromette l'intégrité
d'un système.
D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille
avec vmsplice sous Linux.
Le but de la compétition étant justement d'exhiber de nouvelles failles, les
O.S. disposaient bien entendu de tous les correctifs de sécurité, donc je
ne vois pas pourquoi tu ramènes cette vieille histoire.
Relis ton message, j'ai justement laissé le passage intéressant, et ma
remarque montrant que tous les OS sont susceptibles de se faire
compromettre, avec un exemple sous Linux où un "simple" binaire
suffisait pour compromettre le système.
Et la vraie question, c'est de se demander s'il est normal que l'utilisation d'un navigateur puisse permettre de compromette l'intégrité d'un système. D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux.
Le but de la compétition étant justement d'exhiber de nouvelles failles, les O.S. disposaient bien entendu de tous les correctifs de sécurité, donc je ne vois pas pourquoi tu ramènes cette vieille histoire.
Relis ton message, j'ai justement laissé le passage intéressant, et ma remarque montrant que tous les OS sont susceptibles de se faire compromettre, avec un exemple sous Linux où un "simple" binaire suffisait pour compromettre le système.
Et la vraie question, c'est de se demander s'il est normal que l'utilisation d'un navigateur puisse permettre de compromette l'intégrité d'un système. D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux.
Le but de la compétition étant justement d'exhiber de nouvelles failles, les O.S. disposaient bien entendu de tous les correctifs de sécurité, donc je ne vois pas pourquoi tu ramènes cette vieille histoire.
Relis ton message, j'ai justement laissé le passage intéressant, et ma remarque montrant que tous les OS sont susceptibles de se faire compromettre, avec un exemple sous Linux où un "simple" binaire suffisait pour compromettre le système.
Ce n'est pas vraiment comparable, l'exécution d'un binaire étranger (notamment sous linux) est tout de même quelque chose de nettement moins anodin qu'un simple click sur un lien dans un navigateur.
Et la vraie question, c'est de se demander s'il est normal que
l'utilisation d'un navigateur puisse permettre de compromette
l'intégrité d'un système.
D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille
avec vmsplice sous Linux.
Le but de la compétition étant justement d'exhiber de nouvelles failles,
les O.S. disposaient bien entendu de tous les correctifs de sécurité,
donc je ne vois pas pourquoi tu ramènes cette vieille histoire.
Relis ton message, j'ai justement laissé le passage intéressant, et ma
remarque montrant que tous les OS sont susceptibles de se faire
compromettre, avec un exemple sous Linux où un "simple" binaire
suffisait pour compromettre le système.
Ce n'est pas vraiment comparable, l'exécution d'un binaire étranger
(notamment sous linux) est tout de même quelque chose de nettement moins
anodin qu'un simple click sur un lien dans un navigateur.
Et la vraie question, c'est de se demander s'il est normal que l'utilisation d'un navigateur puisse permettre de compromette l'intégrité d'un système. D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux.
Le but de la compétition étant justement d'exhiber de nouvelles failles, les O.S. disposaient bien entendu de tous les correctifs de sécurité, donc je ne vois pas pourquoi tu ramènes cette vieille histoire.
Relis ton message, j'ai justement laissé le passage intéressant, et ma remarque montrant que tous les OS sont susceptibles de se faire compromettre, avec un exemple sous Linux où un "simple" binaire suffisait pour compromettre le système.
Ce n'est pas vraiment comparable, l'exécution d'un binaire étranger (notamment sous linux) est tout de même quelque chose de nettement moins anodin qu'un simple click sur un lien dans un navigateur.
Cumbalero
Denis Beauregard wrote:
Ici, le minilien aurait pu cacher une pub, d'où la réticence de certains à cliquer. Cela n'a rien à voir avec ce qu'on utilise comme système...
Certes. Et je reconnais là une maladresse de ma part.
Pour ceux qui se demanderaient ce qui se cache derrière, c'est une article sur une tentative de prendre le contrôle de 3 PCs tournant respectivement sous OSX, Vista et Ubuntu.
A+ JF
Denis Beauregard wrote:
Ici, le minilien aurait pu cacher une pub, d'où la réticence de
certains à cliquer. Cela n'a rien à voir avec ce qu'on utilise comme
système...
Certes. Et je reconnais là une maladresse de ma part.
Pour ceux qui se demanderaient ce qui se cache derrière, c'est une article
sur une tentative de prendre le contrôle de 3 PCs tournant respectivement
sous OSX, Vista et Ubuntu.
Ici, le minilien aurait pu cacher une pub, d'où la réticence de certains à cliquer. Cela n'a rien à voir avec ce qu'on utilise comme système...
Certes. Et je reconnais là une maladresse de ma part.
Pour ceux qui se demanderaient ce qui se cache derrière, c'est une article sur une tentative de prendre le contrôle de 3 PCs tournant respectivement sous OSX, Vista et Ubuntu.
A+ JF
Cumbalero
Thierry wrote:
"Le portable sous Windows Vista a alors succombé, via une faille exploitée dans le Flash Player d'Adobe"
Evidemment, c'est plus facile d'hacker un OS multimédia qui offre des logiciels tiers...
Yep... mais la sécurité d'un OS ne passe-t-elle pas aussi par le fait de ne pas autoriser des logiciels tiers à ne pas faire n'importequoi?
A+ JF
Thierry wrote:
"Le portable sous Windows Vista a alors succombé, via une faille exploitée
dans le Flash Player d'Adobe"
Evidemment, c'est plus facile d'hacker un OS multimédia qui offre des
logiciels tiers...
Yep... mais la sécurité d'un OS ne passe-t-elle pas aussi par le fait de ne
pas autoriser des logiciels tiers à ne pas faire n'importequoi?
Et la vraie question, c'est de se demander s'il est normal que l'utilisation d'un navigateur puisse permettre de compromette l'intégrité d'un système. D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux. Le but de la compétition étant justement d'exhiber de nouvelles failles,
les O.S. disposaient bien entendu de tous les correctifs de sécurité, donc je ne vois pas pourquoi tu ramènes cette vieille histoire. Relis ton message, j'ai justement laissé le passage intéressant, et ma
remarque montrant que tous les OS sont susceptibles de se faire compromettre, avec un exemple sous Linux où un "simple" binaire suffisait pour compromettre le système.
Ce n'est pas vraiment comparable, l'exécution d'un binaire étranger (notamment sous linux) est tout de même quelque chose de nettement moins anodin qu'un simple click sur un lien dans un navigateur.
Sur la forme je suis d'accord, mais pas sur le fond: ici, le binaire ne fait que l'appel kivabien et ne sert que de preuve de faisabilité, mais il suffit de détourner n'importe quel programme faisant ce genre d'appel pour obtenir le même résultat, p.ex. via un lien piégé dans un navigateur. Dans le cas de la faille que je cite, la brèche a été rapidement colmatée et n'a donc pas été exploitée, mais le concept est là: quel que soit l'OS, des failles existent et sont susceptibles d'être exploitées. Actuellement Linux bénéficie d'un rythme de correction élevé et d'une relative confidentialité en tant qu'OS desktop qui le mettent à l'abri de ce genre d'attaques, mais plus il sera diffusé, plus la tentation d'exploiter ce genre de failles sera grande. MacOS X en est d'ailleurs un exemple criant: tant que le Macintosh restait marginal, le risque était faible, mais maintenant qu'il se répand, il intéresse de plus en plus les pirates de tous poils. Le fait qu'il ait été le premier à avoir été "cassé" n'est d'ailleurs amha pas un hasard.
Et la vraie question, c'est de se demander s'il est normal que
l'utilisation d'un navigateur puisse permettre de compromette
l'intégrité d'un système.
D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille
avec vmsplice sous Linux.
Le but de la compétition étant justement d'exhiber de nouvelles failles,
les O.S. disposaient bien entendu de tous les correctifs de sécurité,
donc je ne vois pas pourquoi tu ramènes cette vieille histoire.
Relis ton message, j'ai justement laissé le passage intéressant, et ma
remarque montrant que tous les OS sont susceptibles de se faire
compromettre, avec un exemple sous Linux où un "simple" binaire
suffisait pour compromettre le système.
Ce n'est pas vraiment comparable, l'exécution d'un binaire étranger
(notamment sous linux) est tout de même quelque chose de nettement moins
anodin qu'un simple click sur un lien dans un navigateur.
Sur la forme je suis d'accord, mais pas sur le fond: ici, le binaire ne
fait que l'appel kivabien et ne sert que de preuve de faisabilité, mais
il suffit de détourner n'importe quel programme faisant ce genre d'appel
pour obtenir le même résultat, p.ex. via un lien piégé dans un navigateur.
Dans le cas de la faille que je cite, la brèche a été rapidement
colmatée et n'a donc pas été exploitée, mais le concept est là: quel que
soit l'OS, des failles existent et sont susceptibles d'être exploitées.
Actuellement Linux bénéficie d'un rythme de correction élevé et d'une
relative confidentialité en tant qu'OS desktop qui le mettent à l'abri
de ce genre d'attaques, mais plus il sera diffusé, plus la tentation
d'exploiter ce genre de failles sera grande.
MacOS X en est d'ailleurs un exemple criant: tant que le Macintosh
restait marginal, le risque était faible, mais maintenant qu'il se
répand, il intéresse de plus en plus les pirates de tous poils. Le fait
qu'il ait été le premier à avoir été "cassé" n'est d'ailleurs amha pas
un hasard.
Et la vraie question, c'est de se demander s'il est normal que l'utilisation d'un navigateur puisse permettre de compromette l'intégrité d'un système. D'un autre côté, les failles permettant l'escalade de privilège, ce
n'est pas ce qui manque quel que soit l'OS. Voir dernièrement la faille avec vmsplice sous Linux. Le but de la compétition étant justement d'exhiber de nouvelles failles,
les O.S. disposaient bien entendu de tous les correctifs de sécurité, donc je ne vois pas pourquoi tu ramènes cette vieille histoire. Relis ton message, j'ai justement laissé le passage intéressant, et ma
remarque montrant que tous les OS sont susceptibles de se faire compromettre, avec un exemple sous Linux où un "simple" binaire suffisait pour compromettre le système.
Ce n'est pas vraiment comparable, l'exécution d'un binaire étranger (notamment sous linux) est tout de même quelque chose de nettement moins anodin qu'un simple click sur un lien dans un navigateur.
Sur la forme je suis d'accord, mais pas sur le fond: ici, le binaire ne fait que l'appel kivabien et ne sert que de preuve de faisabilité, mais il suffit de détourner n'importe quel programme faisant ce genre d'appel pour obtenir le même résultat, p.ex. via un lien piégé dans un navigateur. Dans le cas de la faille que je cite, la brèche a été rapidement colmatée et n'a donc pas été exploitée, mais le concept est là: quel que soit l'OS, des failles existent et sont susceptibles d'être exploitées. Actuellement Linux bénéficie d'un rythme de correction élevé et d'une relative confidentialité en tant qu'OS desktop qui le mettent à l'abri de ce genre d'attaques, mais plus il sera diffusé, plus la tentation d'exploiter ce genre de failles sera grande. MacOS X en est d'ailleurs un exemple criant: tant que le Macintosh restait marginal, le risque était faible, mais maintenant qu'il se répand, il intéresse de plus en plus les pirates de tous poils. Le fait qu'il ait été le premier à avoir été "cassé" n'est d'ailleurs amha pas un hasard.
Olivier V
"Le portable sous Windows Vista a alors succombé, via une faille exploitée dans le Flash Player d'Adobe"
Evidemment, c'est plus facile d'hacker un OS multimédia qui offre des logiciels tiers...
Flash player n'éxisterait plus sous linux ? Ah oui, on est le 1er avril ...
Olivier V
"Le portable sous Windows Vista a alors succombé, via une faille exploitée
dans le Flash Player d'Adobe"
Evidemment, c'est plus facile d'hacker un OS multimédia qui offre des
logiciels tiers...
Flash player n'éxisterait plus sous linux ? Ah oui, on est le 1er avril ...
