les vulnerabilites des naviguateurs

Le
Az Sam
[X-post + FU2 fr.comp.securite)

sur le blog MSN, un article interressant avec pleins de pistes pour tenter
de debrousailler la question du choix du naviguateur.

http://blogs.msdn.com/iefrance/archive/2010/03/01/navigateurs-web-en-entreprise-faire-le-bon-choix-et-comparer-ce-qui-est-comparable.aspx

L'auteur nous dit :
"La seul chose sur laquelle tout le monde devrait être d'accord, c'est
qu'il faut absolument utiliser un navigateur récent car ce sont les
dernières générations qui disposent des mécanismes de sécurité les plus
efficaces pour contrer les menaces venant du Web."

Et c'est un argument que chacun peut lire regulierment.

Moi, je me dis que le derniere faille du dernier naviguateur en date quand
elle n'ets pas decouverte par une personne bien intentionnée, va etre
exploitée immediatement et a la plus grande echelle possible. Le but etant
dans ce cas de prendre de vittesse l'equipe de develloppement qui pourrait
corriger.

Du coup, si on suit ce conseil et que l'on change toujours pour le dernier
naviguateur en date, on pourrait bien se retrouver etre une cible
privilegiée pour les attaques concernant cette faille dont l'editeur n'aura
connaissance qu'apres les remontees sur les 1er degât + le temps de reaction
a etudier le meccanisme, ecire le correctif et le diffuser.

Une faille 0-Day est elle souvent/rarement presente egalement dans les
versions precedentes ?
L'article ne le dit pas.

--
Cordialement,
Az Sam.
Vos réponses Page 2 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #21357081
On Wed, 10 Mar 2010 19:48:15 +0100, Bruno Tréguier

c'est la société Microsoft elle-même qui annonce une
vulnérabilité qui ne concerne que les versions 6 et 7 de son navigateur,
sans mettre de patch à disposition pour autant..



D'un autre côté, Microsoft qui attend quelques mois après l'annonce
d'une faille pour la corriger, c'est assez courant, non ?

(Bon, évidemment, ici, la différence est que c'est MS soi-même qui
annonce la faille.)
rm
Le #21357241
Salut,
Le mercredi 10 mars 2010 à 18:27, bsch a écrit :


Une faille 0-Day est elle souvent/rarement presente egalement dans
les versions precedentes ?
L'article ne le dit pas.



Le jour (peut-être le lendemain ...) de la sortie d'Opera 10.50 une
vulnérabilité était annoncée. Concerne aussi les versions précédentes.



L'analyse montrerait qu'elle n'est pas très facile à exploiter :
http://my.opera.com/securitygroup/blog/2010/03/09/the-malformed-content-length-header-security-issue
Une 0-day elle aussi un peu « virtuelle » avait été annoncée pour (ou
contre) Firefox, il y a quelques jours
http://blog.mozilla.com/security/2010/02/22/secunia-advisory-sa38608/

(j'ai viré la 10.50 qui m'a posé pas mal de pb, suis revenu à la 10.10.



Tu n'as pes eu de chance ;)

Opera n'est plus ce qu'il était



Cette 10.50 est quand même en net progrès par rapport à une version 3.x ou
même la 10.10 ;)

@+
--
rm - http://opera-fr.com
Az Sam
Le #21357341
"Bruno Tréguier" le message de news: hn8phd$k0g$


Par exemple. :-) Bien que dans le cas présent, on peut se demander quel
est le but réel: c'est la société Microsoft elle-même qui annonce une
vulnérabilité qui ne concerne que les versions 6 et 7 de son navigateur,
sans mettre de patch à disposition pour autant... On voudrait forcer la
main aux utilisateurs pour passer à IE8 qu'on ne s'y prendrait pas
autrement.



oui je crois que le message est evident...


Je suis également tout à fait d'accord avec ce qu'ont dit les autres
intervenants, Jean-Marc Desperrier, Stéphane Catteau et Roland Garcia,
notamment en ce qui concerne le fait d'attendre un peu si la nouvelle
version est surtout là pour rajouter des fonctionnalités un peu
nouvelles...



difficile de mesurer le rapport corrections/nouveaux risques.
Si on attend avec un vielle version on s'expose a la grande quantite
d'exploits possibles tant par leur diffusion que par leur nombre
(puisqu'anciens) et si on met a jour de suite on recolte d'autres failles ou
bug (FF3 par exemple...)


Concernant les "0-day", la société eEye Digital Security propose une page
intéressante sur son site: le "zero-day tracker", qui met en avant le
nombre de jours de vulnérabilité avérée (entre le jour du "disclosure" de
la faille, et la mise à disposition d'un correctif).

C'est là: http://research.eeye.com/html/alerts/zeroday/index.html

C'est à mon avis un indicateur bien plus pertinent que le nombre "brut" de
failles découvertes dans un produit ou un autre... La nouvelle faille
concernant IE[67] n'y est pas encore listée, mais je pense que ça ne
saurait tarder...




merci pour ce lien. Je n'aime pas secunia, ils sont partisans.
Quoique celui la vend des produits, Blink et Retinal.
Je vois deja la faille Adobe avec une duree d'expo enorme sur le java des
v7,8 et 9 que protegerait "leur" produit...
Ou encore le pb UPNP et spooler d'impression de windows qui pourtant ont ete
patchés avec SP2 il me semble non ?
De plus je n'en vois aucune sur Linux !

C'est un premier regard...


--
Cordialement,
Az Sam.
Bruno Tréguier
Le #21357561
Le 10/03/2010 à 21:51, Az Sam a écrit :
difficile de mesurer le rapport corrections/nouveaux risques.
Si on attend avec un vielle version on s'expose a la grande quantite
d'exploits possibles tant par leur diffusion que par leur nombre
(puisqu'anciens) et si on met a jour de suite on recolte d'autres
failles ou bug (FF3 par exemple...)



A vue de nez, comme ça (mais c'est tout à fait discutable), je me
méfierais plus des versions majeures que des autres... Je ne suis pas
encore passé à Thunderbird 3, par exemple.


merci pour ce lien. Je n'aime pas secunia, ils sont partisans.
Quoique celui la vend des produits, Blink et Retinal.



Oui, eux aussi ont quelque chose à vendre, c'est sûr que du coup, il
faut examiner avec circonspection les avis donnés.


Je vois deja la faille Adobe avec une duree d'expo enorme sur le java
des v7,8 et 9 que protegerait "leur" produit...
Ou encore le pb UPNP et spooler d'impression de windows qui pourtant ont
ete patchés avec SP2 il me semble non ?
De plus je n'en vois aucune sur Linux !



Normal... ;-) Nan je blague. En fait cette page a l'air assez récente,
ils disent d'ailleurs qu'ils sont preneurs de toute info concernant des
0-day (présents ou passés).


C'est un premier regard...



Pareil, en fait, je ne connais cette adresse que depuis peu de temps.
J'avais trouvé l'approche de secunia assez partiale concernant la
sécurité des navigateurs (une enquête datant de l'année dernière), car
ils se contentaient, justement, de comptabiliser le nombre de
vulnérabilités de chacun (en prenant en compte également les plugins
disponibles). Du coup, bien entendu, Firefox arrivait largement en tête,
alors que ses "fenêtres de vulnérabilité" sont en règle générale
beaucoup plus courtes.

Bonne fin de soirée.

Cordialement,

Bruno
I N F O R A D I O
Le #21358641
Le Wed, 10 Mar 2010 14:59:58 +0100, "Az Sam"

sur le blog MSN, un article interressant avec pleins de pistes pour tenter
de debrousailler la question du choix du naviguateur.




Pas sûr que la personne qui passe par hasard
sur ce thread en sache vraiment plus...
Ce qu'il cherchera, c'est le navigateur le plus
fiable du moment.

En résumé :
. Tenir à jour Internet explorer mais le bloquer
cf http://inforadio.free.fr/articles.php?lng=fr&pgW
para. 3
. Utiliser Mozilla Firefox associé au plugin Noscript.

Cordialement,
Ludovic.
I N F O R A D I O
Le #21358631
Le Wed, 10 Mar 2010 14:59:58 +0100, "Az Sam"

sur le blog MSN, un article interressant avec pleins de pistes pour tenter
de debrousailler la question du choix du naviguateur.




Pas sûr que la personne qui passe par hasard
sur ce thread en sache vraiment plus...
Ce qu'il cherchera, c'est le navigateur le plus
fiable du moment.

En résumé :
. Tenir à jour Internet explorer mais le bloquer
cf http://inforadio.free.fr/articles.php?lng=fr&pgW
para. 3
. Utiliser Mozilla Firefox associé au plugin Noscript.

Cordialement,
Ludovic.
Pascal
Le #21358671
Le 11/03/2010 09:02, I N F O R A D I O a écrit :
Le Wed, 10 Mar 2010 14:59:58 +0100, "Az Sam"

sur le blog MSN, un article interressant avec pleins de pistes pour tenter
de debrousailler la question du choix du naviguateur.




Pas sûr que la personne qui passe par hasard
sur ce thread en sache vraiment plus...
Ce qu'il cherchera, c'est le navigateur le plus
fiable du moment.

En résumé :
. Tenir à jour Internet explorer mais le bloquer
cf http://inforadio.free.fr/articles.php?lng=fr&pgW
para. 3
. Utiliser Mozilla Firefox associé au plugin Noscript.

Cordialement,
Ludovic.


Tiens au fait, toi qui a l'air de maîtriser pas mal au niveau
informatique, pourais tu m'expliquer comment plonker quelqu'un avec
thunderbird ?
Bonne journée
TT
Le #21358741
Le Thu, 11 Mar 2010 09:02:30 +0100, I N F O R A D I O
Le Wed, 10 Mar 2010 14:59:58 +0100, "Az Sam"

sur le blog MSN, un article interressant avec pleins de pistes pour
tenter
de debrousailler la question du choix du naviguateur.




Pas sûr que la personne qui passe par hasard
sur ce thread en sache vraiment plus...
Ce qu'il cherchera, c'est le navigateur le plus
fiable du moment.

En résumé :
. Tenir à jour Internet explorer mais le bloquer
cf http://mollo.free.fr/articles.php?lng=fr&pgW
para. 3
. Utiliser Mozilla Firefox associé au plugin Noscript.

Cordialement,
Ludovic.



Et en plus il doublonne ses publicités !
--
TT
Stephane Catteau
Le #21359451
bsch n'était pas loin de dire :

Le jour (peut-être le lendemain ...) de la sortie d'Opera 10.50 une
vulnérabilité était annoncée. Concerne aussi les versions précédentes.

Mais depuis quand ?
Je ne vais certes pas réutiliser Opera 3.x de mes débuts, mais les
versions moins antiques sont-elles concernées ? Depuis la 5 il me
semblait tout à fait apte à un usage non multimédia à tout crin. Et
probablement moins ciblée par les malwares actuels.



Sauf que "malwares actuels", cela ne veut rien dire. Il y a encore des
machines infectées par Code Red qui viennent de loin en loin frapper à
ma porte, alors des sites web exploitant telle ou telle failles de
Netscape 4, il doit y en avoir pas mal qui trainent.
Stephane Catteau
Le #21359441
Roland Garcia n'était pas loin de dire :

Je rajouterais qu'il ne faut pas tenir compte que des failles du
navigateur en lui-même, mais aussi des vecteurs d'infections.
Pour prendre un exemple qui, me semble-t-il, n'existe pas encore, un
navigateur qui créerait sa propre sandbox pour l'execution des scripts,
objects flash et compagnie, serait un plus indéniable en matière de
sécurité. Pourtant cela ne concerne pas directement le navigateur.



Faire tourner son navigateur dans une sandbox c'est aujourd'hui possible
avec tout bon antivirus, ou plutôt "suite de sécurité".



Et même sans ça oui, voir mon message sur les risques du web, mais la
question n'était pas là.
Publicité
Poster une réponse
Anonyme