Une jolie faille, classée comme /extrèmement critique/ par Secunia, qui
exagère toujours un peu :) , semble capable d'inquiéter les utilisateurs du
navigateur Safari sous MacOSX...
http://secunia.com/advisories/18963/
Cette faille est, pour les utilisateurs de ce navigateur, très simple à
contourner puisqu'il suffit, via le panneau de préférences, d'empècher
l'exécution automatique des fichiers téléchargés (je pensais qu'il n'y
avait que les vieux IE sous Windows qui pouvaient, sous certaines
conditions, exécuter automatiquement du contenu téléchargé :))
Enfin, le tout est de le savoir.
Par contre, sachant qu'un banal fichier zip n'inquiète en général pas trop
l'utilisateur "lambda", on le voit sous Windows avec une bonne proportion
de virus maintenant distribués sous cette forme, je me demande si la faille
ne pourrait pas être exploitée, banalement de la même manière, par simple
diffusion d'archives zip plombées, par mail ou téléchargement avec
n'importe quel autre navigateur très sûr...
voir aussi http://www.heise.de/english/newsticker/news/69862
où il est aussi conseillé de déplacer carrément son Terminal.app et de
regarder attentivement le contenu des archives zip.
En espérant qu'il n'y aura pas trop de désagréments pour des utilisateurs
qui se sentent souvent bien en sécurité avec des logiciels et un OS dont on
vente allègrement la robustesse ;-P
je me demande si la faille ne pourrait pas être exploitée, banalement de la même manière, par simple diffusion d'archives zip plombées, par mail
ça semble se confirmer (même pas besoin de ziper) : http://www.heise.de/english/newsticker/news/69919
On verra si la faille en question est exploitée.
un OS dont on vente allègrement la robustesse
lire "vante", pardon pour le lapsus :-D
Existe depuis 2001, et c'est l'une des premières grosses failles critiques...
En 5 ans, c'est pas si mal...
-- Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/ Weblog : http://frederic.bezies.free.fr/blog/
Frederic Bezies
Le 2/21/06 11:08 PM, rm a écrit :
Salut,
Une jolie faille, classée comme /extrèmement critique/ par Secunia, qui exagère toujours un peu :) , semble capable d'inquiéter les utilisateurs du navigateur Safari sous MacOSX... http://secunia.com/advisories/18963/
Tout cela à cause de cette saloperie de fonctionnalité : "ouvrir automatiquement les fichiers fiables".
Y a des codeurs chez Apple qui vont avoir des emmerdements ;)
Cette faille est, pour les utilisateurs de ce navigateur, très simple à contourner puisqu'il suffit, via le panneau de préférences, d'empècher l'exécution automatique des fichiers téléchargés (je pensais qu'il n'y avait que les vieux IE sous Windows qui pouvaient, sous certaines conditions, exécuter automatiquement du contenu téléchargé :))
Sauf erreur de ma part, cette fonction est désactivé avec les versions 10.4.3 et suivant de MacOS-X.
Enfin, le tout est de le savoir.
Farpaitement.
Par contre, sachant qu'un banal fichier zip n'inquiète en général pas trop l'utilisateur "lambda", on le voit sous Windows avec une bonne proportion
Surtout que les formats les plus utilisés sous mac sont les fichiers .dmg ou .sit.
de virus maintenant distribués sous cette forme, je me demande si la faille ne pourrait pas être exploitée, banalement de la même manière, par simple diffusion d'archives zip plombées, par mail ou téléchargement avec n'importe quel autre navigateur très sûr...
En effet, cela pourraît être un problème.
voir aussi http://www.heise.de/english/newsticker/news/69862
Mouais. Je me demande pourquoi d'un coup, et depuis d'une dizaine de jours, les éditeurs d'AV qui annoncent véroles sur véroles pour MacOS-X.
où il est aussi conseillé de déplacer carrément son Terminal.app et de regarder attentivement le contenu des archives zip.
Là, c'est carrément de la connerie.
En espérant qu'il n'y aura pas trop de désagréments pour des utilisateurs qui se sentent souvent bien en sécurité avec des logiciels et un OS dont on vente allègrement la robustesse ;-P
Un unix sera toujours plus sécurisé qu'un Windows... Suffit de voir le nombre de services désactivés par défaut sur un MacOS-X sorti de sa boite ;)
-- Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/ Weblog : http://frederic.bezies.free.fr/blog/
Le 2/21/06 11:08 PM, rm a écrit :
Salut,
Une jolie faille, classée comme /extrèmement critique/ par Secunia, qui
exagère toujours un peu :) , semble capable d'inquiéter les utilisateurs du
navigateur Safari sous MacOSX...
http://secunia.com/advisories/18963/
Tout cela à cause de cette saloperie de fonctionnalité : "ouvrir
automatiquement les fichiers fiables".
Y a des codeurs chez Apple qui vont avoir des emmerdements ;)
Cette faille est, pour les utilisateurs de ce navigateur, très simple à
contourner puisqu'il suffit, via le panneau de préférences, d'empècher
l'exécution automatique des fichiers téléchargés (je pensais qu'il n'y
avait que les vieux IE sous Windows qui pouvaient, sous certaines
conditions, exécuter automatiquement du contenu téléchargé :))
Sauf erreur de ma part, cette fonction est désactivé avec les versions
10.4.3 et suivant de MacOS-X.
Enfin, le tout est de le savoir.
Farpaitement.
Par contre, sachant qu'un banal fichier zip n'inquiète en général pas trop
l'utilisateur "lambda", on le voit sous Windows avec une bonne proportion
Surtout que les formats les plus utilisés sous mac sont les fichiers
.dmg ou .sit.
de virus maintenant distribués sous cette forme, je me demande si la faille
ne pourrait pas être exploitée, banalement de la même manière, par simple
diffusion d'archives zip plombées, par mail ou téléchargement avec
n'importe quel autre navigateur très sûr...
En effet, cela pourraît être un problème.
voir aussi http://www.heise.de/english/newsticker/news/69862
Mouais. Je me demande pourquoi d'un coup, et depuis d'une dizaine de
jours, les éditeurs d'AV qui annoncent véroles sur véroles pour MacOS-X.
où il est aussi conseillé de déplacer carrément son Terminal.app et de
regarder attentivement le contenu des archives zip.
Là, c'est carrément de la connerie.
En espérant qu'il n'y aura pas trop de désagréments pour des utilisateurs
qui se sentent souvent bien en sécurité avec des logiciels et un OS dont on
vente allègrement la robustesse ;-P
Un unix sera toujours plus sécurisé qu'un Windows... Suffit de voir le
nombre de services désactivés par défaut sur un MacOS-X sorti de sa boite ;)
--
Frederic Bezies - fredbezies@gmail.com
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
Une jolie faille, classée comme /extrèmement critique/ par Secunia, qui exagère toujours un peu :) , semble capable d'inquiéter les utilisateurs du navigateur Safari sous MacOSX... http://secunia.com/advisories/18963/
Tout cela à cause de cette saloperie de fonctionnalité : "ouvrir automatiquement les fichiers fiables".
Y a des codeurs chez Apple qui vont avoir des emmerdements ;)
Cette faille est, pour les utilisateurs de ce navigateur, très simple à contourner puisqu'il suffit, via le panneau de préférences, d'empècher l'exécution automatique des fichiers téléchargés (je pensais qu'il n'y avait que les vieux IE sous Windows qui pouvaient, sous certaines conditions, exécuter automatiquement du contenu téléchargé :))
Sauf erreur de ma part, cette fonction est désactivé avec les versions 10.4.3 et suivant de MacOS-X.
Enfin, le tout est de le savoir.
Farpaitement.
Par contre, sachant qu'un banal fichier zip n'inquiète en général pas trop l'utilisateur "lambda", on le voit sous Windows avec une bonne proportion
Surtout que les formats les plus utilisés sous mac sont les fichiers .dmg ou .sit.
de virus maintenant distribués sous cette forme, je me demande si la faille ne pourrait pas être exploitée, banalement de la même manière, par simple diffusion d'archives zip plombées, par mail ou téléchargement avec n'importe quel autre navigateur très sûr...
En effet, cela pourraît être un problème.
voir aussi http://www.heise.de/english/newsticker/news/69862
Mouais. Je me demande pourquoi d'un coup, et depuis d'une dizaine de jours, les éditeurs d'AV qui annoncent véroles sur véroles pour MacOS-X.
où il est aussi conseillé de déplacer carrément son Terminal.app et de regarder attentivement le contenu des archives zip.
Là, c'est carrément de la connerie.
En espérant qu'il n'y aura pas trop de désagréments pour des utilisateurs qui se sentent souvent bien en sécurité avec des logiciels et un OS dont on vente allègrement la robustesse ;-P
Un unix sera toujours plus sécurisé qu'un Windows... Suffit de voir le nombre de services désactivés par défaut sur un MacOS-X sorti de sa boite ;)
-- Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/ Weblog : http://frederic.bezies.free.fr/blog/
Fabien LE LEZ
On Wed, 22 Feb 2006 08:21:44 +0100, Frederic Bezies :
Un unix sera toujours plus sécurisé qu'un Windows...
Honnêtement, je pense que le facteur principal pour la sécurité d'une machine, c'est l'interface chaise-clavier.
Mais j'admets qu'un Windows "out of the box" demande pas mal de boulot avant que j'ose connecter le câble Ethernet.
On Wed, 22 Feb 2006 08:21:44 +0100, Frederic Bezies
<fredbezies@gmail.com>:
Un unix sera toujours plus sécurisé qu'un Windows...
Honnêtement, je pense que le facteur principal pour la sécurité d'une
machine, c'est l'interface chaise-clavier.
Mais j'admets qu'un Windows "out of the box" demande pas mal de boulot
avant que j'ose connecter le câble Ethernet.
Honnêtement, je pense que le facteur principal pour la sécurité d'une machine, c'est l'interface chaise-clavier.
On peut y ajouter un intermédiaire important : l'administrateur !
rm
Le Wed, 22 Feb 2006 08:17:20 +0100, Frederic Bezies a écrit :
Le 2/22/06 12:01 AM, rm a écrit :
Le Tue, 21 Feb 2006 23:08:26 +0100, rm a écrit :
je me demande si la faille ne pourrait pas être exploitée, banalement de la même manière, par simple diffusion d'archives zip plombées, par mail
ça semble se confirmer (même pas besoin de ziper) : http://www.heise.de/english/newsticker/news/69919
On verra si la faille en question est exploitée.
Le risque est effectivement très faible vu que déjà sous Windows, très peu sont exploitées massivement. MacOSX n'est pas Open Source mais Apple va sûrement corriger ça très très vite.
fait gaffe quand même :) l'article précisant qu'un utilisateur qui se sent bien en sécurité en utilisant Firefox sous MacOSX pourrait bêtement se faire avoir : "You may infect your computer if you open the JPG file in such an archive without a warning even if the ZIP file was downloaded and saved to your Mac via Firefox" :-D
un OS dont on vente allègrement la robustesse
lire "vante", pardon pour le lapsus :-D
Existe depuis 2001, et c'est l'une des premières grosses failles critiques...
la sécurité informatique ne se résume pas à un comptage de failles... ni aux arguments marketing...
En 5 ans, c'est pas si mal...
c'est même très bien, Fred... car ça permettra aux utilisateurs d'Unix de ne point se sentir benoitement plus en sécurité que sur ces /maudits/ Winchose ;)
@+ -- rm
Le Wed, 22 Feb 2006 08:17:20 +0100, Frederic Bezies a écrit :
Le 2/22/06 12:01 AM, rm a écrit :
Le Tue, 21 Feb 2006 23:08:26 +0100, rm a écrit :
je me demande si la faille
ne pourrait pas être exploitée, banalement de la même manière, par simple
diffusion d'archives zip plombées, par mail
ça semble se confirmer (même pas besoin de ziper) :
http://www.heise.de/english/newsticker/news/69919
On verra si la faille en question est exploitée.
Le risque est effectivement très faible vu que déjà sous Windows, très peu
sont exploitées massivement.
MacOSX n'est pas Open Source mais Apple va sûrement corriger ça très très
vite.
fait gaffe quand même :) l'article précisant qu'un utilisateur qui se sent
bien en sécurité en utilisant Firefox sous MacOSX pourrait bêtement se
faire avoir :
"You may infect your computer if you open the JPG file in such an archive
without a warning even if the ZIP file was downloaded and saved to your Mac
via Firefox" :-D
un OS dont on vente allègrement la robustesse
lire "vante", pardon pour le lapsus :-D
Existe depuis 2001, et c'est l'une des premières grosses failles
critiques...
la sécurité informatique ne se résume pas à un comptage de failles...
ni aux arguments marketing...
En 5 ans, c'est pas si mal...
c'est même très bien, Fred... car ça permettra aux utilisateurs d'Unix de
ne point se sentir benoitement plus en sécurité que sur ces /maudits/
Winchose ;)
Le Wed, 22 Feb 2006 08:17:20 +0100, Frederic Bezies a écrit :
Le 2/22/06 12:01 AM, rm a écrit :
Le Tue, 21 Feb 2006 23:08:26 +0100, rm a écrit :
je me demande si la faille ne pourrait pas être exploitée, banalement de la même manière, par simple diffusion d'archives zip plombées, par mail
ça semble se confirmer (même pas besoin de ziper) : http://www.heise.de/english/newsticker/news/69919
On verra si la faille en question est exploitée.
Le risque est effectivement très faible vu que déjà sous Windows, très peu sont exploitées massivement. MacOSX n'est pas Open Source mais Apple va sûrement corriger ça très très vite.
fait gaffe quand même :) l'article précisant qu'un utilisateur qui se sent bien en sécurité en utilisant Firefox sous MacOSX pourrait bêtement se faire avoir : "You may infect your computer if you open the JPG file in such an archive without a warning even if the ZIP file was downloaded and saved to your Mac via Firefox" :-D
un OS dont on vente allègrement la robustesse
lire "vante", pardon pour le lapsus :-D
Existe depuis 2001, et c'est l'une des premières grosses failles critiques...
la sécurité informatique ne se résume pas à un comptage de failles... ni aux arguments marketing...
En 5 ans, c'est pas si mal...
c'est même très bien, Fred... car ça permettra aux utilisateurs d'Unix de ne point se sentir benoitement plus en sécurité que sur ces /maudits/ Winchose ;)
@+ -- rm
Fabien LE LEZ
On Wed, 22 Feb 2006 09:43:46 +0100, Pierre Goiffon :
Honnêtement, je pense que le facteur principal pour la sécurité d'une machine, c'est l'interface chaise-clavier.
On peut y ajouter un intermédiaire important : l'administrateur !
Disons que si plusieurs personnes ont accès au clavier (et à la souris) d'un PC donné, il y a plusieurs interfaces chaise-clavier... donc vraisemblablement une plus forte probabilité de problèmes.
On Wed, 22 Feb 2006 09:43:46 +0100, Pierre Goiffon
<pgoiffon@free.fr.invalid>:
Honnêtement, je pense que le facteur principal pour la sécurité d'une
machine, c'est l'interface chaise-clavier.
On peut y ajouter un intermédiaire important : l'administrateur !
Disons que si plusieurs personnes ont accès au clavier (et à la
souris) d'un PC donné, il y a plusieurs interfaces chaise-clavier...
donc vraisemblablement une plus forte probabilité de problèmes.
On Wed, 22 Feb 2006 09:43:46 +0100, Pierre Goiffon :
Honnêtement, je pense que le facteur principal pour la sécurité d'une machine, c'est l'interface chaise-clavier.
On peut y ajouter un intermédiaire important : l'administrateur !
Disons que si plusieurs personnes ont accès au clavier (et à la souris) d'un PC donné, il y a plusieurs interfaces chaise-clavier... donc vraisemblablement une plus forte probabilité de problèmes.