Vulnérabilité dans IE-Alerte Secuser

"Jacquouille la Fripouille" <audouin.jacques@ouanamou.fr> a écrit dans le
message de news:O%23a6BUs7FHA.3276@TK2MSFTNGP15.phx.gbl...

Ça vient de tomber :
http://www.secuser.com/communiques/2005/051121_iexplorer.htm

Si on désactive l'Active scripting, ça bloque quoi exactement ?
Merci.

--
Jacquouille

Salut à Jacquouille la Fripouille qui par là
<ubXV%23Ws7FHA.4036@TK2MSFTNGP11.phx.gbl> tapotait de ses petits doigts
fébriles:

"Jacquouille la Fripouille" <audouin.jacques@ouanamou.fr> a écrit
dans le message de news:O%23a6BUs7FHA.3276@TK2MSFTNGP15.phx.gbl...

Ça vient de tomber :
http://www.secuser.com/communiques/2005/051121_iexplorer.htm

Si on désactive l'Active scripting, ça bloque quoi exactement ?
Merci.

Je sais pas, mais par contre ce que je sais c'est qu'hier en ouvrant une
page web à priori anodine, elle m'a renvoyée sur une autre et dans la
minute qui a suivie je me suis fais prendre de plein fouet par une
cochonceté qui m'a changé ma page de démarrage pourtant bloquée et par
PowerIE 6 et par Spybot, virée ma barre gougueule et mis à la place une
barre de très prêt liée à des sites de ulc, rajouté les favoris en
conséquence, remplacé mon fond d'écran par un fichier temporaire
desktop.htm et encore quelques zautres joyeusetés ... :-(

Vu la bardée de protections que j'ai pourtant, je présume que c'est un
de ces fameux script que j'ai dû me prendre in Ze Chetron ...
En effectif, je ne sais pas ce que fait l'active scripting mais ce qu'il
y a de sûr c'est que je viens d'appliquer illico les mesures préconisées
...

N.B: ni mon AV, ni mes deux firewall (un sur routeur + un logiciel)
n'ont sourcillés. La désinfection par AdAware + Spybot (à jour) ont bien
réussi à virer un tas de cochoncetés mais pas tout. Idem ensuite avec
utilisation d'un AV en ligne ... Donc j'ai eu le bol de pouvoir faire
une restauration avec une base de la veille, mais comme entre temps
j'avais fait pas mal de trucs, il a fallu désinstaller/ réinstaller pas
mal de trucs dont un sfc /scannow + 1 répare IE

Bref bonjour les dégats :-(

--
PhilIP
[enlever ~X007 pour répondre]
http://neophil.canalblog.com/

"Jacquouille la Fripouille" <audouin.jacques@ouanamou.fr> a écrit dans le
message de news: ubXV%23Ws7FHA.4036@TK2MSFTNGP11.phx.gbl...

"Jacquouille la Fripouille" <audouin.jacques@ouanamou.fr> a écrit dans le
message de news:O%23a6BUs7FHA.3276@TK2MSFTNGP15.phx.gbl...

Ça vient de tomber :
http://www.secuser.com/communiques/2005/051121_iexplorer.htm

Si on désactive l'Active scripting, ça bloque quoi exactement ?
Merci.

--
Jacquouille

Hi Jacquouille,

Windows Update entre beaucoup d'autres...
Incroyable ce qu'il y a comme trous dans IE et le reste :o(((

J'ai Mozilla dernière version...
Netscape 7...
Faudra qu'un correctif sorte sans trop tarder...

Bonne soirée,

Le Spirituel

(message suivi sur fr.securite)

Salutations Jacquouille la Fripouille, tu nous disais :

Ça vient de tomber :
http://www.secuser.com/communiques/2005/051121_iexplorer.htm

C'est malheureusement une ENÔÔÔRME faille de I.E. :

Une preuve de faisabilité (Proof Of Concept : PoC) d'un exploit critique
(exécution de code à distance) vient d'être annoncée par ISC qui est
passé en condition jaune :
http://isc.sans.org/diary.php?storyid‡4

Et je vous confirme qu'il fonctionne sur XP SP2 + I.E. complètement
à jour.

La faille exploitée est, à première vue, un débordement de tampon sur
la fonction JavaScript "prompt()" et le seul correctif connu pour le
moment est la désactivation du scripting dans I.E.

@+

--
~Jean-Marc~ MVP Shell/User Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://docxp.mvps.org - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Bonjour,

Pour compléter, vous lirez, ci-dessous, une traduction de l'avis de sécurité
paru sur le site Microsoft (je vous invite, particulièrement, à lire les
facteurs atténuants) :

Microsoft étudie de nouveaux rapports publics de vulnérabilité dans
Microsoft Internet Explorer pour Microsoft Windows 98, Windows 98 SE, Windows
Millennium Edition, Windows 2000 Service Pack 4 et Windows XP Service Pack 2.
Les clients qui ont installé Windows Server 2003 et Windows Server 2003
Service Pack 1 dans leur configuration par défaut, avec la configuration de
sécurité avancée, ne sont pas impactés. Nous avons également été informés
d'un concept de code qui vise à utiliser ces vulnérabilités mais nous n'avons
pas connaissance de clients impactés pour le moment. Nous continuons nos
investigations sur ces rapports publics. Cette faille a été signalée par le
CERT US sous la référence VU#887861 et sur le site CVE sous la référence
CVE-2005-1790.

Une fois ces investigations terminées, Microsoft prendra les actions
appropriées pour aider nos clients à être protégés. Ceci pourrait inclure le
fait de fournir une mise à jour de sécurité au travers des bulletins mensuels
ou bien via une mise à jour exceptionnelle.

Facteurs atténuants :
• Dans un scénario d'attaque via le web, un attaquant doit héberger un site
web contenant la(les) page(s) utilisée(s) pour exploiter cette vulnérabilité.
Un attaquant n'a aucun moyen de forcer un utilisateur à visiter son site web
malveillant. En revanche un attaquant pourra persuader l'utilisateur de venir
visiter ce site web, typiquement en l’encourageant à cliquer sur un lien.
• Un attaquant qui exploite cette vulnérabilité avec succès peut obtenir les
mêmes droits utilisateurs que l'utilisateur local. Les utilisateurs disposant
de droits limités sur leur poste seront potentiellement moins impactés que
ceux ayant les droits administrateurs.
• La zone de site restreint d'Internet Explorer aide à réduire les attaques
qui peuvent essayer d'exploiter cette vulnérabilité en empêchant l'Active
Scripting d'être utilisé lorsqu'un message HTML est lu. Toutefois, si un
utilisateur clique sur un lien embarqué dans un message, il reste vulnérable
au scénario d'attaque via le web.
Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les
messages HTML dans la zone de site restreint. En complément, Outlook 98 et
Outlook 2000 ouvrent les messages HTML dans la zone de site restreint si la
mise à jour de sécurité Outlook pour les messages a été installée. Outlook
Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone de site
restreint si la mise à jour du bulletin de sécurité MS04-018 a été installée.
• Par défaut Internet Explorer sur Windows Server 2003, Windows Server 2003
Service Pack 1, Windows Server 2003 Service Pack 1 pour les systèmes Itanium
et Windows Server 2003 x64 Edition utilisent un mode restreint qui est la
configuration de sécurité étendue. Ce mode atténue la vulnérabilité. Pour
plus d'information sur cette configuration de sécurité étendue reportez vous
à la section FAQ de cette information de sécurité.

Cdlt
Stéphane


"Jacquouille la Fripouille" a écrit :

Ça vient de tomber :
http://www.secuser.com/communiques/2005/051121_iexplorer.htm

--
Jacquouille

Stéphane [MS] donne un coup d'aiguille pour aider ce fil :

Pour compléter, vous lirez, ci-dessous, une traduction de l'avis de sécurité
paru sur le site Microsoft (je vous invite, particulièrement, à lire les
facteurs atténuants) [couic]

Merci Stéphane de ces remarques éclairées ;o)
Cdlt@+

--
http://management.journaldunet.com/sudoku/
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net

Stéphane [MS] a écrit :

Bonjour,

Pour compléter, vous lirez, ci-dessous, une traduction de l'avis de sécurité
paru sur le site Microsoft (je vous invite, particulièrement, à lire les
facteurs atténuants) :

[...]

Une fois ces investigations terminées, Microsoft prendra les actions

appropriées pour aider nos clients à être protégés. Ceci pourrait inclure le
fait de fournir une mise à jour de sécurité au travers des bulletins mensuels
ou bien via une mise à jour exceptionnelle.

Facteurs atténuants :
• Dans un scénario d'attaque via le web, un attaquant doit héberger un site
web contenant la(les) page(s) utilisée(s) pour exploiter cette vulnérabilité.
Un attaquant n'a aucun moyen de forcer un utilisateur à visiter son site web
malveillant. En revanche un attaquant pourra persuader l'utilisateur de venir
visiter ce site web, typiquement en l’encourageant à cliquer sur un lien.
• Un attaquant qui exploite cette vulnérabilité avec succès peut obtenir les
mêmes droits utilisateurs que l'utilisateur local. Les utilisateurs disposant
de droits limités sur leur poste seront potentiellement moins impactés que
ceux ayant les droits administrateurs.
• La zone de site restreint d'Internet Explorer aide à réduire les attaques
qui peuvent essayer d'exploiter cette vulnérabilité en empêchant l'Active
Scripting d'être utilisé lorsqu'un message HTML est lu. Toutefois, si un
utilisateur clique sur un lien embarqué dans un message, il reste vulnérable
au scénario d'attaque via le web.
Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent les
messages HTML dans la zone de site restreint. En complément, Outlook 98 et
Outlook 2000 ouvrent les messages HTML dans la zone de site restreint si la
mise à jour de sécurité Outlook pour les messages a été installée. Outlook
Express 5.5 Service Pack 2 ouvre les messages HTML dans la zone de site
restreint si la mise à jour du bulletin de sécurité MS04-018 a été installée.
• Par défaut Internet Explorer sur Windows Server 2003, Windows Server 2003
Service Pack 1, Windows Server 2003 Service Pack 1 pour les systèmes Itanium
et Windows Server 2003 x64 Edition utilisent un mode restreint qui est la
configuration de sécurité étendue. Ce mode atténue la vulnérabilité. Pour
plus d'information sur cette configuration de sécurité étendue reportez vous
à la section FAQ de cette information de sécurité.

Cdlt
Stéphane

Ca fait plaisir de voir que Microsoft a ses comiques troupiers qui
viennent essayer de nous faire rire sur le front des attaques contre IE.

Pendant que les utilisateurs lambda, ceux qui ne sont pas certifiés
Korsoft ou n'ont pas un master d'informatique en poche se ramassent tout
ce qui passe parce que un escroc monopolistique diffuse à tout va des
produits daubés et plutôt que de bosser à réparer ces conneries M.
Windaube vient nous expliquer que ce n'est pas grave.

Si c'est grave, parce qu'il y en a ras-le-bol des patchs et autres
rustines après lesquelles il faut toujours courir sans compter les
failles avérées pour lesquelles il a fallu attendre des semaines que
soit pondu un correctif.
Ras la casquette des désinformations de Billou l'escrou pour lequel son
produit est finalement le moins mauvais.

Nombreux sont ceux à dire, et pas parmi les plus acharnés contre
Windaube, que IE est fortement déconseillé et qu'il faut passer à un
autre tel Firefox ou Opéra ou Netscape.
Rappelons que pour Firefox s'il n'est pas parfait au moins en ont-ils
conscience et au moins les patchs arrivent vite.
De plus du fait d'une moindre diffusion il est moins attaqué. Alors en
attendant qu'il devienne une cible de masse il faut l'essayer et c'est
souvent l'adopter.

On a bien compris le message : oui il y a une grosse grosse faille mais
ce n'est pas grave, il faudrait vraiment être malchanceux pour qu'elle
vous tombe dessus et si c'est le cas vous l'aurez un peu cherché et puis
il suffit de désactiver l'active scripting. Vous verrez plein de site ne
fonctionneront plus comme avant mais ce n'est pas grave.
Pendant ce temps on va voir s'il est rentable de bosser là-dessus ou si
l'on attend le lot de nouvelles rustines pour notre grosse m.... de
navigateur.

MARRE MARRE MARRE ET MARRE !!!!

Sophie

Salut à Stéphane [MS] qui par là
<1C82F21C-8217-4D81-BB04-F84B38E6F0E4@microsoft.com> tapotait de ses
petits doigts fébriles:

Bonjour,

Pour compléter, vous lirez, ci-dessous, une traduction de l'avis de
sécurité paru sur le site Microsoft (je vous invite,
particulièrement, à lire les facteurs atténuants) :

Microsoft étudie de nouveaux rapports publics de vulnérabilité dans
Microsoft Internet Explorer pour Microsoft Windows 98, Windows 98 SE,
Windows Millennium Edition, Windows 2000 Service Pack 4 et Windows XP
Service Pack 2. Les clients qui ont installé Windows Server 2003 et
Windows Server 2003 Service Pack 1 dans leur configuration par
défaut, avec la configuration de sécurité avancée, ne sont pas
impactés. Nous avons également été informés d'un concept de code qui
vise à utiliser ces vulnérabilités mais nous n'avons pas connaissance
de clients impactés pour le moment. Nous continuons nos
investigations sur ces rapports publics. Cette faille a été signalée
par le CERT US sous la référence VU#887861 et sur le site CVE sous la
référence CVE-2005-1790.

Une fois ces investigations terminées, Microsoft prendra les actions
appropriées pour aider nos clients à être protégés. Ceci pourrait
inclure le fait de fournir une mise à jour de sécurité au travers des
bulletins mensuels ou bien via une mise à jour exceptionnelle.

Facteurs atténuants :
• Dans un scénario d'attaque via le web, un attaquant doit héberger
un site web contenant la(les) page(s) utilisée(s) pour exploiter
cette vulnérabilité. Un attaquant n'a aucun moyen de forcer un
utilisateur à visiter son site web malveillant. En revanche un
attaquant pourra persuader l'utilisateur de venir visiter ce site
web, typiquement en l’encourageant à cliquer sur un lien.
• Un attaquant qui exploite cette vulnérabilité avec succès peut
obtenir les mêmes droits utilisateurs que l'utilisateur local. Les
utilisateurs disposant de droits limités sur leur poste seront
potentiellement moins impactés que ceux ayant les droits
administrateurs.
• La zone de site restreint d'Internet Explorer aide à réduire les
attaques qui peuvent essayer d'exploiter cette vulnérabilité en
empêchant l'Active Scripting d'être utilisé lorsqu'un message HTML
est lu. Toutefois, si un utilisateur clique sur un lien embarqué dans
un message, il reste vulnérable au scénario d'attaque via le web.
Par défaut, Outlook Express 6, Outlook 2002 et Outlook 2003 ouvrent
les messages HTML dans la zone de site restreint. En complément,
Outlook 98 et Outlook 2000 ouvrent les messages HTML dans la zone de
site restreint si la mise à jour de sécurité Outlook pour les
messages a été installée. Outlook Express 5.5 Service Pack 2 ouvre
les messages HTML dans la zone de site restreint si la mise à jour du
bulletin de sécurité MS04-018 a été installée. • Par défaut Internet
Explorer sur Windows Server 2003, Windows Server 2003 Service Pack 1,
Windows Server 2003 Service Pack 1 pour les systèmes Itanium et
Windows Server 2003 x64 Edition utilisent un mode restreint qui est
la configuration de sécurité étendue. Ce mode atténue la
vulnérabilité. Pour plus d'information sur cette configuration de
sécurité étendue reportez vous à la section FAQ de cette information
de sécurité.

Cdlt
Stéphane


"Jacquouille la Fripouille" a écrit :

Ça vient de tomber :
http://www.secuser.com/communiques/2005/051121_iexplorer.htm

--
Jacquouille

Bien ça, mais feraient bien de se grouiller un peu chez Kro$oft pour
sortir un correctif ...

--
PhilIP
[enlever ~X007 pour répondre]
http://neophil.canalblog.com/

Jacquouille la Fripouille <audouin.jacques@ouanamou.fr> a écrit :

"Jacquouille la Fripouille" <audouin.jacques@ouanamou.fr> a écrit dans le
message de news:O%23a6BUs7FHA.3276@TK2MSFTNGP15.phx.gbl...

Ça vient de tomber :
http://www.secuser.com/communiques/2005/051121_iexplorer.htm

Si on désactive l'Active scripting, ça bloque quoi exactement ?
Merci.

Moi aussi, je n'ouvre plus IE6 à partir de maintenant jusqu'au développement
du correctif.
A moins que quelqu'un puisse nous indiquer ici si on peut naviguer
correctement en désactivant l'option "Active scripting".

--
François

Adresse invalide. Pour me joindre : => http://cerbermail.com/?qtakkgEnQi

"etiab" <moi@ici.fr> a écrit dans le message de
news:%235eTIx37FHA.476@TK2MSFTNGP15.phx.gbl...

Jacquouille la Fripouille <audouin.jacques@ouanamou.fr> a écrit :
> "Jacquouille la Fripouille" <audouin.jacques@ouanamou.fr> a écrit dans

le

> message de news:O%23a6BUs7FHA.3276@TK2MSFTNGP15.phx.gbl...
>> Ça vient de tomber :
>> http://www.secuser.com/communiques/2005/051121_iexplorer.htm
>>
> Si on désactive l'Active scripting, ça bloque quoi exactement ?
> Merci.

Moi aussi, je n'ouvre plus IE6 à partir de maintenant jusqu'au

développement

du correctif.
A moins que quelqu'un puisse nous indiquer ici si on peut naviguer
correctement en désactivant l'option "Active scripting".

Ça dépend des sites. Tous ne font pas appel à Active script.
Si tu es sûr d'un site qui fonctionne avec, tu le places dans la liste des
sites de confiance.

--
Jacquouille