Suite de la discussion sur les patches de MSIE/MSOE
7 réponses
Fabrice Bonny
Bonjour à tous.
Il semblerait bien que certains patches soient inefficaces:
http://www.zdnet.fr/actualites/technologie/0,39020809,39125531,00.htm?nl=builder
Ouais... Et on dira que certaines personnes sont des anti-MS farouches...
C'est surtout un problème de transparence. Fermer son code et ne pas communiquer ne suffit pas à faire "disparaître" les failles.
-- Fabrice Bonny - http://openweb.eu.org/
"I am working on open source software, not open binary; don't ask me to compile my code." Daniel Glazman
Mathieu
Fabrice Bonny wrote:
Bonjour à tous. Il semblerait bien que certains patches soient inefficaces: http://www.zdnet.fr/actualites/technologie/0,39020809,39125531,00.htm?nl=builder
C'est la deuxieme fois sur ce bug la en fait [*]. Les 2 fois, ils n'ont fait que corriger l'exploit, c'est a dire une facon parmis tant d'autres d'exploiter la faille et non la faille elle meme.
[*] La premiere version de ce bug existe depuis fevrier 2002 d'apres http://www.pivx.com/larholm/unpatched/#patch_MS03_032 .
-- mat | www.openweb.eu.org | www.nekeme.net | arkhart.nekeme.net They can't stop us... we're on a mission from God! -- The Blues Brothers
Fabrice Bonny wrote:
Bonjour à tous.
Il semblerait bien que certains patches soient inefficaces:
http://www.zdnet.fr/actualites/technologie/0,39020809,39125531,00.htm?nl=builder
C'est la deuxieme fois sur ce bug la en fait [*].
Les 2 fois, ils n'ont fait que corriger l'exploit, c'est a dire une
facon parmis tant d'autres d'exploiter la faille et non la faille elle meme.
[*] La premiere version de ce bug existe depuis fevrier 2002 d'apres
http://www.pivx.com/larholm/unpatched/#patch_MS03_032 .
--
mat | www.openweb.eu.org | www.nekeme.net | arkhart.nekeme.net
They can't stop us... we're on a mission from God!
-- The Blues Brothers
Bonjour à tous. Il semblerait bien que certains patches soient inefficaces: http://www.zdnet.fr/actualites/technologie/0,39020809,39125531,00.htm?nl=builder
C'est la deuxieme fois sur ce bug la en fait [*]. Les 2 fois, ils n'ont fait que corriger l'exploit, c'est a dire une facon parmis tant d'autres d'exploiter la faille et non la faille elle meme.
[*] La premiere version de ce bug existe depuis fevrier 2002 d'apres http://www.pivx.com/larholm/unpatched/#patch_MS03_032 .
-- mat | www.openweb.eu.org | www.nekeme.net | arkhart.nekeme.net They can't stop us... we're on a mission from God! -- The Blues Brothers
Pierre Goiffon
Dans le message:3f7a709b$0$20947$, Fabrice Bonny a écrit:
Il semblerait bien que certains patches soient inefficaces:
La question n'est sans doute pas là Le plus important est de voir si Microsoft fournit un travail sérieux et est à l'écoute de ses utilisateurs. Et là, je ne suis pas sur que l'on puisse complètement répondre par l'affirmative malheureusement.
Qu'il y ait des patchs incorrects, pas complets etc ça arrive à tous les éditeurs. Reste à savoir s'ils apportent correction une fois un problème soumis... Il y a de nombreux exemple sur lesquels Microsoft passe outre avec une communication plus que désagréable et ça c'est dommage.
Enfin, il faut quand même noter que le volume d'attaques et recherche de failles sur les systèmes Microsoft sont sans communes mesures avec les autres produits du marché. On finit par se dire que l'on a un produit très sûr ;o)
Concernant le prb précis dont tu parle, je n'en ais vu aucun écho chez vulnwatch et au CERT - ZDNet étant un marchand de papier (de pages vues plutôt :) ) ça mérite plus de détails.
-- __________________________________________ / . Pierre GOIFFON . . p g o i f f o n @ f r e e . f r . __________________________________________/ Un grand merci à OE Quote Fix pour rendre OE utilisable :) => http://home.in.tum.de/~jain/software/quotefix.php
Dans le message:3f7a709b$0$20947$7a628cd7@news.club-internet.fr,
Fabrice Bonny <fbonny@club-internet.fr> a écrit:
Il semblerait bien que certains patches soient inefficaces:
La question n'est sans doute pas là
Le plus important est de voir si Microsoft fournit un travail sérieux et
est à l'écoute de ses utilisateurs. Et là, je ne suis pas sur que l'on
puisse complètement répondre par l'affirmative malheureusement.
Qu'il y ait des patchs incorrects, pas complets etc ça arrive à tous les
éditeurs. Reste à savoir s'ils apportent correction une fois un problème
soumis... Il y a de nombreux exemple sur lesquels Microsoft passe outre
avec une communication plus que désagréable et ça c'est dommage.
Enfin, il faut quand même noter que le volume d'attaques et recherche de
failles sur les systèmes Microsoft sont sans communes mesures avec les
autres produits du marché. On finit par se dire que l'on a un produit
très sûr ;o)
Concernant le prb précis dont tu parle, je n'en ais vu aucun écho chez
vulnwatch et au CERT - ZDNet étant un marchand de papier (de pages vues
plutôt :) ) ça mérite plus de détails.
--
__________________________________________
/
. Pierre GOIFFON .
. p g o i f f o n @ f r e e . f r .
__________________________________________/
Un grand merci à OE Quote Fix pour rendre OE utilisable :)
=> http://home.in.tum.de/~jain/software/quotefix.php
La question n'est sans doute pas là Le plus important est de voir si Microsoft fournit un travail sérieux et est à l'écoute de ses utilisateurs. Et là, je ne suis pas sur que l'on puisse complètement répondre par l'affirmative malheureusement.
Qu'il y ait des patchs incorrects, pas complets etc ça arrive à tous les éditeurs. Reste à savoir s'ils apportent correction une fois un problème soumis... Il y a de nombreux exemple sur lesquels Microsoft passe outre avec une communication plus que désagréable et ça c'est dommage.
Enfin, il faut quand même noter que le volume d'attaques et recherche de failles sur les systèmes Microsoft sont sans communes mesures avec les autres produits du marché. On finit par se dire que l'on a un produit très sûr ;o)
Concernant le prb précis dont tu parle, je n'en ais vu aucun écho chez vulnwatch et au CERT - ZDNet étant un marchand de papier (de pages vues plutôt :) ) ça mérite plus de détails.
-- __________________________________________ / . Pierre GOIFFON . . p g o i f f o n @ f r e e . f r . __________________________________________/ Un grand merci à OE Quote Fix pour rendre OE utilisable :) => http://home.in.tum.de/~jain/software/quotefix.php
Mathieu
Pierre Goiffon wrote:
Concernant le prb précis dont tu parle, je n'en ais vu aucun écho chez vulnwatch et au CERT - ZDNet étant un marchand de papier (de pages vues plutôt :) ) ça mérite plus de détails.
Ya eu des discussion sur bugtraq a ce propos lors de la sortie du patch, certains fulminant en disant que en 5 min de tests on pouvait se rendre compte que le patch etait clairement pas suffisant...
-- mat | www.openweb.eu.org | www.nekeme.net | arkhart.nekeme.net They can't stop us... we're on a mission from God! -- The Blues Brothers
Pierre Goiffon wrote:
Concernant le prb précis dont tu parle, je n'en ais vu aucun écho chez
vulnwatch et au CERT - ZDNet étant un marchand de papier (de pages vues
plutôt :) ) ça mérite plus de détails.
Ya eu des discussion sur bugtraq a ce propos lors de la sortie du patch,
certains fulminant en disant que en 5 min de tests on pouvait se rendre
compte que le patch etait clairement pas suffisant...
--
mat | www.openweb.eu.org | www.nekeme.net | arkhart.nekeme.net
They can't stop us... we're on a mission from God!
-- The Blues Brothers
Concernant le prb précis dont tu parle, je n'en ais vu aucun écho chez vulnwatch et au CERT - ZDNet étant un marchand de papier (de pages vues plutôt :) ) ça mérite plus de détails.
Ya eu des discussion sur bugtraq a ce propos lors de la sortie du patch, certains fulminant en disant que en 5 min de tests on pouvait se rendre compte que le patch etait clairement pas suffisant...
-- mat | www.openweb.eu.org | www.nekeme.net | arkhart.nekeme.net They can't stop us... we're on a mission from God! -- The Blues Brothers
Fabrice Bonny
Pierre Goiffon disait:
Qu'il y ait des patchs incorrects, pas complets etc ça arrive à tous les éditeurs. Reste à savoir s'ils apportent correction une fois un problème soumis... Il y a de nombreux exemple sur lesquels Microsoft passe outre avec une communication plus que désagréable et ça c'est dommage.
Tout à fait.
Enfin, il faut quand même noter que le volume d'attaques et recherche de failles sur les systèmes Microsoft sont sans communes mesures avec les autres produits du marché. On finit par se dire que l'on a un produit très sûr ;o)
C'est vrai qu'il en voit, le pauvre. :-)
-- Fabrice Bonny - http://openweb.eu.org/
"I am working on open source software, not open binary; don't ask me to compile my code." Daniel Glazman
Pierre Goiffon disait:
Qu'il y ait des patchs incorrects, pas complets etc ça arrive à tous les
éditeurs. Reste à savoir s'ils apportent correction une fois un problème
soumis... Il y a de nombreux exemple sur lesquels Microsoft passe outre
avec une communication plus que désagréable et ça c'est dommage.
Tout à fait.
Enfin, il faut quand même noter que le volume d'attaques et recherche de
failles sur les systèmes Microsoft sont sans communes mesures avec les
autres produits du marché. On finit par se dire que l'on a un produit
très sûr ;o)
C'est vrai qu'il en voit, le pauvre. :-)
--
Fabrice Bonny - http://openweb.eu.org/
"I am working on open source software, not open binary; don't ask me to
compile my code." Daniel Glazman
Qu'il y ait des patchs incorrects, pas complets etc ça arrive à tous les éditeurs. Reste à savoir s'ils apportent correction une fois un problème soumis... Il y a de nombreux exemple sur lesquels Microsoft passe outre avec une communication plus que désagréable et ça c'est dommage.
Tout à fait.
Enfin, il faut quand même noter que le volume d'attaques et recherche de failles sur les systèmes Microsoft sont sans communes mesures avec les autres produits du marché. On finit par se dire que l'on a un produit très sûr ;o)
C'est vrai qu'il en voit, le pauvre. :-)
-- Fabrice Bonny - http://openweb.eu.org/
"I am working on open source software, not open binary; don't ask me to compile my code." Daniel Glazman
Pierre Goiffon
Dans le message:3f7c4c91$0$20952$, Mathieu a écrit:
Ya eu des discussion sur bugtraq
Voilà ce que c'est d'être un ancien développeur-administrateur-chef de projet-responsable clients passé au développement uniquement :o) Bon, je vais finir par m'abonner à Bugtraq, je n'ai jamais réussi à trouver ce que je cherchais dans leurs archives :/ Aller hop, je vais sur security focus !
-- __________________________________________ / . Pierre GOIFFON . . p g o i f f o n @ f r e e . f r . __________________________________________/ Un grand merci à OE Quote Fix pour rendre OE utilisable :) => http://home.in.tum.de/~jain/software/quotefix.php
Dans le message:3f7c4c91$0$20952$7a628cd7@news.club-internet.fr,
Mathieu <mat@nekeme.nospam.net> a écrit:
Ya eu des discussion sur bugtraq
Voilà ce que c'est d'être un ancien développeur-administrateur-chef de
projet-responsable clients passé au développement uniquement :o)
Bon, je vais finir par m'abonner à Bugtraq, je n'ai jamais réussi à
trouver ce que je cherchais dans leurs archives :/ Aller hop, je vais
sur security focus !
--
__________________________________________
/
. Pierre GOIFFON .
. p g o i f f o n @ f r e e . f r .
__________________________________________/
Un grand merci à OE Quote Fix pour rendre OE utilisable :)
=> http://home.in.tum.de/~jain/software/quotefix.php
Dans le message:3f7c4c91$0$20952$, Mathieu a écrit:
Ya eu des discussion sur bugtraq
Voilà ce que c'est d'être un ancien développeur-administrateur-chef de projet-responsable clients passé au développement uniquement :o) Bon, je vais finir par m'abonner à Bugtraq, je n'ai jamais réussi à trouver ce que je cherchais dans leurs archives :/ Aller hop, je vais sur security focus !
-- __________________________________________ / . Pierre GOIFFON . . p g o i f f o n @ f r e e . f r . __________________________________________/ Un grand merci à OE Quote Fix pour rendre OE utilisable :) => http://home.in.tum.de/~jain/software/quotefix.php
Mathieu
Pierre Goiffon wrote:
Voilà ce que c'est d'être un ancien développeur-administrateur-chef de projet-responsable clients passé au développement uniquement :o) Bon, je vais finir par m'abonner à Bugtraq, je n'ai jamais réussi à trouver ce que je cherchais dans leurs archives :/ Aller hop, je vais sur security focus !
Tu sais, les archives marchent peut etre mieux que la ml elle meme, tous les jours ya des problemes dessus (ya des gens qui recoivent rien pendant des heures puis une avalanche de messages, d'autres qui se font desabonnés sans que on les previenne, etc :)
-- mat | www.openweb.eu.org | www.nekeme.net | arkhart.nekeme.net They can't stop us... we're on a mission from God! -- The Blues Brothers
Pierre Goiffon wrote:
Voilà ce que c'est d'être un ancien développeur-administrateur-chef de
projet-responsable clients passé au développement uniquement :o)
Bon, je vais finir par m'abonner à Bugtraq, je n'ai jamais réussi à
trouver ce que je cherchais dans leurs archives :/ Aller hop, je vais
sur security focus !
Tu sais, les archives marchent peut etre mieux que la ml elle meme,
tous les jours ya des problemes dessus (ya des gens qui recoivent
rien pendant des heures puis une avalanche de messages, d'autres qui
se font desabonnés sans que on les previenne, etc :)
--
mat | www.openweb.eu.org | www.nekeme.net | arkhart.nekeme.net
They can't stop us... we're on a mission from God!
-- The Blues Brothers
Voilà ce que c'est d'être un ancien développeur-administrateur-chef de projet-responsable clients passé au développement uniquement :o) Bon, je vais finir par m'abonner à Bugtraq, je n'ai jamais réussi à trouver ce que je cherchais dans leurs archives :/ Aller hop, je vais sur security focus !
Tu sais, les archives marchent peut etre mieux que la ml elle meme, tous les jours ya des problemes dessus (ya des gens qui recoivent rien pendant des heures puis une avalanche de messages, d'autres qui se font desabonnés sans que on les previenne, etc :)
-- mat | www.openweb.eu.org | www.nekeme.net | arkhart.nekeme.net They can't stop us... we're on a mission from God! -- The Blues Brothers
