zone.msn.com securite flash

Le
Malamort
Bonjour,

X-post: fr.comp.securite, microsoft.public.fr.securite
FU2: fr.comp.securite

Je joue depuis quelques jours sur http://zone.msn.com/.
Ce site permet de jouer à tout un tas de jeux en ligne, celui qui me
pose probleme est le poker "Bicycle® Texas Hold'Em" mais probablement
que d'autres sont dans le meme cas.
Il s'agit de jeux en ligne, developpé en flash et qui lors du premier
lancement nécessite l'installation d'un module activeX.

Ce jeux permet de jouer contre d'autres internautes, or, à plusieurs
reprise j'ai remarqué des bugs (plantage sauvage de IE, ) jusque là
bon rien de trop inquietant, jusqu'a hier ou mon appli flash a ouvert
un popup me demandant si je l'autorisais (flash) a accéder à ma webcam
et à mon micro.. J'ai refusé mais je soupsonne que l'activeX qui est
derriere est extremement dangereux, fais-je fausse route?

--
A+++
Malamort
Vos réponses Page 1 / 2
Trier par : date / pertinence
Thierry Thomas
Le #845965
Mardi 25 juillet 2006 à 15:50 GMT, Malamort a écrit :
Bonjour,


Bonsoir,

Ce jeux permet de jouer contre d'autres internautes, or, à plusieurs
reprise j'ai remarqué des bugs (plantage sauvage de IE, ...) jusque là
bon rien de trop inquietant, jusqu'a hier ou mon appli flash a ouvert
un popup me demandant si je l'autorisais (flash) a accéder à ma webcam
et à mon micro..... J'ai refusé mais je soupsonne que l'activeX qui est
derriere est extremement dangereux, fais-je fausse route?


Déjà, il force l'utilisation d'IE, ce qui est téméraire : allez par ex.
sur le site entrer 'Microsoft Internet Explorer' dans la zone Produit/Éditeur, et
cliquez sur rechercher...
--
Th. Thomas.

Malamort
Le #845963
Thierry Thomas
Mardi 25 juillet 2006 à 15:50 GMT, Malamort a écrit :
Bonjour,


Bonsoir,

Ce jeux permet de jouer contre d'autres internautes, or, à plusieurs
reprise j'ai remarqué des bugs (plantage sauvage de IE, ...) jusque là
bon rien de trop inquietant, jusqu'a hier ou mon appli flash a ouvert
un popup me demandant si je l'autorisais (flash) a accéder à ma webcam
et à mon micro..... J'ai refusé mais je soupsonne que l'activeX qui est
derriere est extremement dangereux, fais-je fausse route?


Déjà, il force l'utilisation d'IE, ce qui est téméraire : allez par ex.
sur le site entrer 'Microsoft Internet Explorer' dans la zone Produit/Éditeur, et
cliquez sur rechercher...


Oui en effet mais quand j'entre "Thunderbird" dans la zone en question,
c'est pire...

Bon en clair, de toute façon, soit j'utilise un autre soft et je ne
pourrai plus aller jouer sur msn, soit je garde IE et je m'abstiens
d'aller jouer sur MSN, ce qui revient à peu pres au meme lol

--
A+++
Malamort


Tom
Le #845962
Thierry Thomas wrote:
Déjà, il force l'utilisation d'IE, ce qui est téméraire : allez par ex.
sur le site entrer 'Microsoft Internet Explorer' dans la zone Produit/Éditeur, et
cliquez sur rechercher...


Je ne veux pas faire l'avocat du diable, mais en recherchant Mozilla
Firefox c'est pas mal non plus.

--
Tom

Thierry Thomas
Le #845961
Mercredi 26 juillet 2006 à 09:22 GMT, Malamort a écrit :
Thierry Thomas
Déjà, il force l'utilisation d'IE, ce qui est téméraire : allez par ex.
sur le site entrer 'Microsoft Internet Explorer' dans la zone Produit/Éditeur, et
cliquez sur rechercher...


Oui en effet mais quand j'entre "Thunderbird" dans la zone en question,
c'est pire...


Bien au contraire, c'est mieux ! « Thunderbird » (qui n'est pas un
navigateur, mais c'est pareil pour Firefox) retourne principalement des
/Security Update Fixes/ , c.à.d. des correctifs, alors que pour IE on a
surtout des failles...
--
Th. Thomas.


Malamort
Le #845959
Thierry Thomas
Mercredi 26 juillet 2006 à 09:22 GMT, Malamort a écrit :
Thierry Thomas
Déjà, il force l'utilisation d'IE, ce qui est téméraire : allez par ex.
sur le site entrer 'Microsoft Internet Explorer' dans la zone Produit/Éditeur, et
cliquez sur rechercher...


Oui en effet mais quand j'entre "Thunderbird" dans la zone en question,
c'est pire...


Bien au contraire, c'est mieux ! « Thunderbird » (qui n'est pas un
navigateur, mais c'est pareil pour Firefox) retourne principalement des
/Security Update Fixes/ , c.à.d. des correctifs, alors que pour IE on a
surtout des failles...


A te lire, avec Firefox, il n'y aurait jamais de faille, juste des
correctifs lol

Par ailleurs, je vois que IE c'est surtout des "Denial of Service
Vulnerability"... pas tres grave a mon sens pour un navigateur web,
alors que pour Firefox c'est des updates pour des "Code Execution
Vulnerability"...

Mais ne t'enerve pas tout de suite, j'admets bien volontier qu'il y a
probablement bcp moins de tentative de percer la sécurité de firefox
que celle d'IE pour la bonne et simple raison que le mec qui arrive à
trouver une faille sur IE aura potentiellement bcp plus de victime
possible. D'ailleurs tu ne devrais pas trop insister pour que tout le
monde passe sous firefox sinon la tendance risque de s'inverser.

Mais avant que la discussion ne tourne au fanatisme pour l'un ou
l'autre produit, je peux peut-etre essayer de la re-centrer sur le
sujet.

Penses-tu sincerement que ce soit IE qui aurait permis à une personne
distante de prendre le controle de ma webcam et ce meme si aucune note
de vulnerabilité n'existe sur ce sujet?

Moi j'ai clairement eu l'impression que qqun a tenté de prendre le
controle de certain de mes périphériques, à savoir (au moins) la webcam
et le micro

Est-ce possible? Si oui, quel est à votre avis, parmis les softs
utilisés celui qui a ouvert cette vulnérabilité? A savoir Windows 2000,
IE, Flash et ActiveX, derriere un routeur/firewall et un firewall sur
le PC.

Au vu de la config de mes firewalls, il me semble que le mec qui a fait
ca a du passé par une de mes connections sortantes, ce qui limite à mon
sens à IE, Flash, et le module ActiveX. Ai-je raison de penser que
c'est probablement le module activeX? Ou dois-je définitivement penser
que c'est IE alors qu'aucune faille de ce genre n'est publiée sur les
sites que j'ai visité?

--
A+++
Malamort



Cedric Blancher
Le #845960
Le Tue, 25 Jul 2006 21:32:40 +0000, Thierry Thomas a écrit :
Déjà, il force l'utilisation d'IE, ce qui est téméraire : allez par ex.
sur le site entrer 'Microsoft Internet Explorer' dans la zone Produit/Éditeur, et
cliquez sur rechercher...


<shameless plug>
http://sid.rstack.org/blog/index.php/2006/07/03/100-the-browser-bug-of-the-day
</shameless plug>

Sinon, allez voir directement http://browserfun.blogspot.com/ ...


--
Bonjour a tous Je suis actuellement au Pays de Galles pour 1 mois et
demi, Quelqu un peut il me donner des nouvelles de France de temps en
temps sur NG ?
-+- LT in : GNU - Neuneu vote [ Oui ] à fr.rec.france.info.ng -+-

Dominique ROUSSEAU
Le #845734
Le mer, 26 jui 2006 at 18:01 GMT, Malamort
Penses-tu sincerement que ce soit IE qui aurait permis à une personne
distante de prendre le controle de ma webcam et ce meme si aucune note
de vulnerabilité n'existe sur ce sujet?

Moi j'ai clairement eu l'impression que qqun a tenté de prendre le
controle de certain de mes périphériques, à savoir (au moins) la webcam
et le micro


Le controle, oui, on doit pouvoir dire ça. Tu le dis dans ton message de
départ, Flash a demandé l'autorisation d'accéder à ta webcam et à ton
micro.
N'y aurait il pas des fonctionnalités de "chat video" sur le site en
question ?


Dom

Dominique ROUSSEAU
Le #845732
Le mer, 26 jui 2006 at 13:13 GMT, Thierry Thomas
Mercredi 26 juillet 2006 à 09:22 GMT, Malamort a écrit :
[... palmarès IE sur frsirt.com ...]

Oui en effet mais quand j'entre "Thunderbird" dans la zone en question,
c'est pire...


Bien au contraire, c'est mieux ! « Thunderbird » (qui n'est pas un
navigateur, mais c'est pareil pour Firefox) retourne principalement des
/Security Update Fixes/ , c.à.d. des correctifs, alors que pour IE on a
surtout des failles...


Et on a les fixes en 4 ou 5 exemplaires, vu que chaque distrib y fait
une annonce :)


Cedric Blancher
Le #845733
Le Wed, 26 Jul 2006 18:01:07 +0000, Malamort a écrit :
Par ailleurs, je vois que IE c'est surtout des "Denial of Service
Vulnerability"... pas tres grave a mon sens pour un navigateur web,
alors que pour Firefox c'est des updates pour des "Code Execution
Vulnerability"...


Des DoS, c'est parce que c'est Microsoft qui le dit. Des "Denial of
Service" qui permettent d'exécuter du code, j'en connais une tripotée ;)

Ceci étant, on n'est pas en train de faire un concours de quequettes, et
le nombre de failles, ça ne veut _rien_ dire. Du tout. Et pour pleins de
raisons parmi lesquelles :

. le fait que ce qui est important, c'est le nombre de failles non
patchées à l'instant T qui permettent de faire des choses
. le fait que les éditeurs commerciaux patchent des failles
silencieusement de manière volontaire
. que pour une faille Firefox, tu as une dizaine d'advisories
différents[1]
. etc...

Toujours est-il qu'il y a des choses à trouver partout et que tout le
monde y travaille. Les guerres de chapelle, ça avait encore du sens il y
a deux ans quand IE était encore sur ses 4 ans de vulnérabilité
ininterrompue à un ou plusieurs remote-exec, maintenant, nettement moins.

Chacun son truc, l'essentiel c'est de se sentir à l'aise et être
conscient de ses faiblesses. Les gens invulnérables qui utilisent le
meilleur outil du monde ne font que la joie des pirates et autres
propriétaires de botnets ou machines à spammer.


[1] http://sid.rstack.org/blog/index.php/2006/01/09/17-vnunetfr-ne-sait-pas-lire-ou-ne-sait-pas-compter

--
Tu sais mon petit Theo que les corses plastiquent tes marseillais et tes
marseillais emplafonnent eventuellement les corses... On ne peut pas vraiment
appeler ça du desordre...
-+- Flic ou Voyou

Malamort
Le #845731
Dominique ROUSSEAU
Le mer, 26 jui 2006 at 18:01 GMT, Malamort
Penses-tu sincerement que ce soit IE qui aurait permis à une personne
distante de prendre le controle de ma webcam et ce meme si aucune note
de vulnerabilité n'existe sur ce sujet?

Moi j'ai clairement eu l'impression que qqun a tenté de prendre le
controle de certain de mes périphériques, à savoir (au moins) la webcam
et le micro


Le controle, oui, on doit pouvoir dire ça. Tu le dis dans ton message de
départ, Flash a demandé l'autorisation d'accéder à ta webcam et à ton
micro.
N'y aurait il pas des fonctionnalités de "chat video" sur le site en
question ?


Ily a des fonctionnalités de chat mais à ma connaissance pas vidéo mais
je vais regarder ca plus en detail.

--
A+++
Malamort


Publicité
Poster une réponse
Anonyme