Vulnérabilité dans IE-Alerte Secuser

"Jacquouille la Fripouille" <audouin.jacques@ouanamou.fr> a écrit dans le
message de news: Ow9ec$67FHA.3388@TK2MSFTNGP11.phx.gbl...

"Stéphane [MS]" <spapp@online.microsoft.com> a écrit dans le message de
news:%23rpaTP57FHA.4036@TK2MSFTNGP11.phx.gbl...

Plonk ! Inutile de me répondre, je ne la lirai pas.
Aider les autres, d'accord, mais se faire insulter, non !
Mettez votre navigateur à jour (Thunderbird est en 1.07 depuis le 21
septembre) et vous pourrez, peut-être, un jour, avoir le droit de
critiquer...

MARRE MARRE MARRE ET MARRE DES INCAPABLES QUI NE CESSENT DE CRITIQUER
SANS
FAIRE AVANCER LES CHOSES !!!!

Stéphane

Allons Stéphane,

Tu ne vas pas craquer pour une nana qui a pété les plombs.
Reprends du poil de la bête.
Tu as traduit intelligemment l'article de M$ sans prendre parti.
A chacun de juger selon son expérience ou son tempérament.
Le mois de novembre est propice aux déprimes. Les jours racourcissent. Le
temps refroidit.
Prends une bonne dose de Bas-Armagnac HO et détends-toi.
Ciao

--
Jacquouille

Bonjour,

Merci pour ce support.

Je tiens à préciser que je ne suis que le messager et non pas le traducteur
de l'article en question. En matière de sécurité, chaque mot ayant son
importance, il est préférable de s'y mettre à plusieurs et l'équipe sécurité
de Microsoft France a, malheureusement, l'habitude de faire cette opération.

A chaque nouvelle faille, tous les dysfonctionnements du monde lui sont
imputés. Si j'ai posté le message d'origine, c'est pour réagir à celui de
neophil78 ; je ne doute pas qu'il existe, un jour, un virus, ver ou autre
"cochonceté" qui incitera les utilisateurs à visiter, volontairement ou non,
un site hostile. En l'état actuel, il n'existe, à ma connaissance, qu'une
démonstration de la possibilité d'exploiter la faille, mais, pas encore, de
site réellement hostile. Il faut, à ce titre, souligner la responsabilité de
Benjamin Tobias Franz et Stuart Pearson qui semblent avoir agit
intelligemment en reportant le problème sans donner trop de détails sur les
moyens d'exploiter la faille. Ce n'est pas toujours le cas...

En cette période de frimas comme le reste de l'année, je me dope plutôt au
chocolat, mais il faut, sans doute, que j'augmente la dose, à moins que je
ne tente un cocktail chocolat-Armagnac :-)

Cdlt
Stéphane

Bonjour *victor* :

Bonjour Claude,

Décabaner ou démancher le Wigwam n'est pas bon aux petits soin-soins
chez les sauvages. C'est tout-à-fait vrai, et il n'y a rien de tel pour
se faire encore plus fort. Au contraire de dimancher le troll.

Pour faire le plein d'energie, il y a un truc SUPER, et économique.

*S'emmitoufler* des pieds à la tête dans le lit, et dormir sans aucun
chronomètre. C'est beaucoup mieux que les salles de musculation où
j'en sors systématiquement beaucoup plus fatigué.

Dodô ...cement,

victor

:)

Mer/TCHOUM!/ ci :)


--
Claude LaFrenière [MVP] :-{)
courriel: http://viadresse.com?39135017
À LIRE: http://sebsauvage.net/safehex.html

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Bonjour Paskal, dans le message
news: u23HZ%23%237FHA.252@TK2MSFTNGP15.phx.gbl
tu disais :

Elle est où ma tanière que je commence mon hibernation ?
Horsecity ?

lol

alors, je veux bien lui rendre visite rofl



--

Adresse invalide
Merci de répondre sur le forum ...
http://scraper.chez-alice.fr

scraper

"Luc" <non@mercilespam.fr> a écrit dans le message de
news:uzKU3h67FHA.3880@TK2MSFTNGP12.phx.gbl...

Mais que se passe-t-il ces jours-ci ? Il y a une épidémie d'aigris
agressifs et ingrats. C'est l'automne qui grise les esprits, la morosité
ambiante, des premiers effets de rayons envoyés par un ennemi
intergalactique qui sèment la zizanie,..... ?

Le mois de novembre est propice aux déprimes. Les jours racourcissent.
Le temps refroidit. La CGT fout la merde. Les banlieues brulent. L'action
EDF baisse.
;o(

Ça y est, même le gourvernement français s'y intéresse.
http://www.certa.ssi.gouv.fr/site/CERTA-2005-ALE-017/index.html

--
Jacquouille

Salut à Jacquouille la Fripouille qui par là
<uI4rgEC8FHA.4076@tk2msftngp13.phx.gbl> tapotait de ses petits doigts
fébriles:

Ça y est, même le gourvernement français s'y intéresse.
http://www.certa.ssi.gouv.fr/site/CERTA-2005-ALE-017/index.html

si je peux me permettre, j'ai déjà signalé l'intérêt du gouvernement sur
MonBlogAMoiQueJ'Ai (cf lien ci-dessous)

et toc

rofl rofl rofl

--
PhilIP
[enlever ~X007 pour répondre]
http://neophil.canalblog.com/

Bonjour,

Pour compléter, vous lirez, ci-dessous, une traduction de l'avis de sécurité
paru sur le site Microsoft (je vous invite, particulièrement, à lire les
facteurs atténuants) :

[...]

Une fois ces investigations terminées, Microsoft prendra les actions
appropriées pour aider nos clients à être protégés. Ceci pourrait inclure le

fait de fournir une mise à jour de sécurité au travers des bulletins mensuels
ou bien via une mise à jour exceptionnelle.

Facteurs atténuants :
• Dans un scénario d'attaque via le web, un attaquant doit héberger un site
web contenant la(les) page(s) utilisée(s) pour exploiter cette vulnérabilité.
Un attaquant n'a aucun moyen de forcer un utilisateur à visiter son site web
malveillant. En revanche un attaquant pourra persuader l'utilisateur de venir
visiter ce site web, typiquement en l’encourageant à cliquer sur un lien.
• Un attaquant qui exploite cette vulnérabilité avec succès peut obtenir les
mêmes droits utilisateurs que l'utilisateur local. Les utilisateurs disposant
de droits limités sur leur poste seront potentiellement moins impactés que
ceux ayant les droits administrateurs.
• La zone de site restreint d'Internet Explorer aide à réduire les attaques
qui peuvent essayer d'exploiter cette vulnérabilité en empêchant l'Active
Scripting d'être utilisé lorsqu'un message HTML est lu. Toutefois, si un
utilisateur clique sur un lien embarqué dans un message, il reste vulnérable
au scénario d'attaque via le web.
Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les
messages HTML dans la zone de site restreint. En complément, Outlook 98 et
Outlook 2000 ouvrent les messages HTML dans la zone de site restreint si la
mise à jour de sécurité Outlook pour les messages a été installée. Outlook
Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone de site
restreint si la mise à jour du bulletin de sécurité MS04-018 a été installée.
• Par défaut Internet Explorer sur Windows Server 2003, Windows Server 2003
Service Pack 1, Windows Server 2003 Service Pack 1 pour les systèmes Itanium
et Windows Server 2003 x64 Edition utilisent un mode restreint qui est la
configuration de sécurité étendue. Ce mode atténue la vulnérabilité. Pour
plus d'information sur cette configuration de sécurité étendue reportez vous
à la section FAQ de cette information de sécurité.

Cdlt
Stéphane

Ca fait plaisir de voir que Microsoft a ses comiques troupiers qui

viennent essayer de nous faire rire sur le front des attaques contre IE.

Pendant que les utilisateurs lambda, ceux qui ne sont pas certifiés
Korsoft ou n'ont pas un master d'informatique en poche se ramassent tout
ce qui passe parce que un escroc monopolistique diffuse à tout va des
produits daubés et plutôt que de bosser à réparer ces conneries M.
Windaube vient nous expliquer que ce n'est pas grave.

Si c'est grave, parce qu'il y en a ras-le-bol des patchs et autres
rustines après lesquelles il faut toujours courir sans compter les
failles avérées pour lesquelles il a fallu attendre des semaines que
soit pondu un correctif.
Ras la casquette des désinformations de Billou l'escrou pour lequel son
produit est finalement le moins mauvais.

Nombreux sont ceux à dire, et pas parmi les plus acharnés contre
Windaube, que IE est fortement déconseillé et qu'il faut passer à un
autre tel Firefox ou Opéra ou Netscape.
Rappelons que pour Firefox s'il n'est pas parfait au moins en ont-ils
conscience et au moins les patchs arrivent vite.
De plus du fait d'une moindre diffusion il est moins attaqué. Alors en
attendant qu'il devienne une cible de masse il faut l'essayer et c'est
souvent l'adopter.

On a bien compris le message : oui il y a une grosse grosse faille mais
ce n'est pas grave, il faudrait vraiment être malchanceux pour qu'elle
vous tombe dessus et si c'est le cas vous l'aurez un peu cherché et puis
il suffit de désactiver l'active scripting. Vous verrez plein de site ne
fonctionneront plus comme avant mais ce n'est pas grave.
Pendant ce temps on va voir chez Krpsoft s'il est rentable de bosser
là-dessus ou si l'on attend le lot de nouvelles rustines pour notre
grosse m.... de
navigateur.

MARRE MARRE MARRE ET MARRE !!!!

Sophie

Paskal nous a déclaré...

Bonjour Luc

Salut Paskal,

Elle est où ma tanière que je commence mon hibernation ?
Horsecity ?

;-)

hmmm... en voyant l'état les ours de la région au réveil, j'hésite !
http://www.faqoe.com/repas0705004.jpg LOL

--
Cordialement,

Luc Burnouf

adresse de réponse invalide
pour me joindre --> http://cerbermail.com/?1bU8V4YO3y

Plonk ! Inutile de me répondre, je ne la lirai pas.
Aider les autres, d'accord, mais se faire insulter, non !
Mettez votre navigateur à jour (Thunderbird est en 1.07 depuis le 21
septembre) et vous pourrez, peut-être, un jour, avoir le droit de
critiquer...

MARRE MARRE MARRE ET MARRE DES INCAPABLES QUI NE CESSENT DE CRITIQUER SANS
FAIRE AVANCER LES CHOSES !!!!

Stéphane

Je suis d'accord :)

Pascal

Salutations de l'après-midi,

Ben dis-donc Sophie rarement vu quelqu'un faire l'unanimité contre soi
comme ça !

Il est rare, rare que je prenne mon clavier pour donner mon avis mais
là !

Faut dire que tu n'y es pas allée avec le dos de la cuillère et même
si un coup de gueule fait du bien il n'est guère constructif.

En plus n'oublie pas qu'ici tu es sur un newsgroup Microsoft ou
apparenté donc beaucoup de chance de tomber sur des gens solidaires
des produits de la firme.

A quoi bon dire que les produits de Microsoft sont mauvais puisque plus
personne ne nie la piètre qualité des OS usine à gaz de la firme de
Richmond ? Toute personne un peu informée sait que Bill Gates est
avant tout un génie du marketing et du commerce mais pas de
l'informatique puisqu'il a tout pompé au parc Xerox, chez IBM ou
chez Apple.
Tant pis pour les innocents qui ont payé avec Windows Me, un des OS
les plus mauvais toutes catégories confondues.
Des tonnes de Ram pour que ça tourne là où des Linux ont besoin de
moitié moins de mémoire. Il faudra au minimum 1 Go pour faire tourner
le remplaçant de XP dont nombreux sont ceux à dire qu'il n'est pas
utile avant 6-7 ans ! Si un système est bon on l'améliore on ne le
refond pas tous les 5-6 ans.

Pourquoi hurler que les produits vendus par Bill Gates sont de vrais
gruyères puisque tout le monde le sait et que même G.W. Bush
(informaticien émérite !) s'en est ému ?
C'est pourquoi de nombreux gros clients (dont quelques capitales
européennes) veulent passer sous des produits ouverts ou libres qui
s'ils ne sont pas exempts de défauts sont quand même beaucoup moins
dangereux (malgré les études contraires orientées et payées par The
Firm !).

Microsoft a le soutien de tous ceux qui profitent du système puisque
là où l'informatique devait être une ouverture jamais les produits
ne vont être tant fermés et utilisés pour pister et fliqués les
utilisateurs. Evidemment tout ceci est pour la sécurité de tous et
pas du tout pour augmenter le chiffre d'affaire de ceux qui
phagocytent et monopolisent ce marché. Pas de souci d'ici quelques
années grâce à Microsoft et ses alliés (comme Intel ou Sony) non
seulement tout le monde verra ses habitudes de consommation connues
mais surtout le terrorisme et la contrefaçon auront bien évidemment
disparu !

Pourquoi Sophie te casses-tu le clavier pour écrire que Microsoft se
fout du monde puisque tout le monde le dit et le pense, à part ici
ceux qui travaillent pour Microsoft et sont bien évidemment d'une
objectivité à toute épreuve, mais sauf que plus grand monde n'a le
choix.
Effectivement toutes les tentatives pour sortir du racket
institutionnel de Microsoft ont été tués dans l'œuf par Bill
Gates (le dernier exemple en date est Lindows devenu Linspire) et tant
que la quasi totalité du parc sera fourni avec Windows personne
n'essayera autre chose.
Qui dans le grand public utilisateur sait qu'un Mandriva à 30 euros
avec Open Office et quelques autres produits open source suffit à 99%
des besoins courants de tout un chacun.

Microsoft continue de développer des usines à gaz de plus en plus
lourdes à faire tourner, il rend le système plus fragile avec des MAJ
sécurité qui deviennent difficiles voire impossibles si on a un OS
non légal (et je suis d'accord pour dire que ce n'est pas une
bonne chose d'aller pirater) laissant ainsi en place des systèmes
faillibles qui seront autant de relais de contamination. C'est un
gros problème même si là-dedans Microsoft ne peut pas tout laisser
passer. Mais bon à voir les profits réalisés un peu de souplesse ne
ferait pas de mal.

Plusieurs gourous de la sécurité informatique ont déconseillé
l'utilisation d'Internet Explorer pour le remplacer par d'autres
et d'ailleurs la part d'IE diminue de plus en plus même si elle
reste énorme.
Oui les ingénieurs de Microsoft ne sont pas pressés de développer
des rustines et l'histoire de ces dernières années a montré que
des failles sont restées ouvertes plusieurs semaines. Avec à chaque
fois les mêmes arguments selon lesquels on ne risque pas grand chose
si.... on laisse l'ordinateur fermé !

Donc Sophie tu as dit un peu fort, au mauvais endroit et de manière
inélégante plusieurs vérités ou semi-vérités qui sont difficiles
pour certains à admettre. Dans un post précédent tu t'es déjà
fait sermonner et tu aurais dû comprendre qu'ici les
susceptibilités sont exacerbées, comme souvent quand des gens se
prennent un peu trop au sérieux ;-)
Stéphane se voulait utile à la communauté en présentant ce document
qui fait partie des pièces et éléments utiles à connaître à
propos de cette faille. C'est le discours convenu et les mêmes
fadaises que bien souvent lorsqu'il s'agit de la communication à
Microsoft sur ces errements mais il n'empêche que certaines choses
sont quand même bien utiles à savoir dans ce texte.
C'est un fait que pour les gens qui n'ont pas l'habitude une
telle alerte signifie Danger grave ! et ils n'ont pas forcément les
connaissances pour relativiser ceci (même si là la pilule est dure à
avaler).

Donc Stéphane n'a fait que son boulot de salarié de Microsoft en
relayant le discours officiel de son employeur. On ne peut pas lui
demander de dire toute la vérité sur Microsoft, ce serait une faute
grave !
Par contre il est dommage qu'il soit si susceptible et prenne
certains termes taquins pour des insultes. Cela donne une bien mauvaise
image des informaticiens et d'un gros manque de tolérance pour un
acteur d'un news group.

Quant à l'usage du plonk c'est l'arme des faibles et des mauvais
qui ne supportent pas la contradiction (désolé de mon ton mais
variement c'est un truc qui m'agace beaucoup). C'est bien dommage de
prendre la mouche si vite et de refuser d'entendre, même si c'est
mal dit, un cri de ras le bol de la part de quelqu'un certainement un
peu perdu face à tout ceci. Elle ne vous a pas insulté vous Stéphane
(mis à part le comique troupier pas si méchant que ça) mais a
poussé un gros coup de gueule contre l'ami Bill. Il faut avouer que
parfois ça fait du bien non ? ;-)
Plonker c'est être sûr d'avoir toujours raison, en tout cas de se
le faire croire mais je redis que c'est l'arme des lâches et de
ceux qui ne sont pas certains de ce qu'ils affirment. En aucun cas
une façon de faire avancer les choses.

Mais bon libre à vous Stéphane de vous positionner dans cette posture
;-)

En tout cas merci pour la traduction ou en tout cas pour nous l'avoir
communiquée. Et bon courage chez Microsoft ;-) Et bien le bonjour à
Bill !

Au plaisir !

Yves