IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert confirmé

    Avatar de Djug
    Homme Profil pro
    Inscrit en
    Mai 2007
    Messages
    2 980
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Algérie

    Informations forums :
    Inscription : Mai 2007
    Messages : 2 980
    Par défaut Microsoft publie une mise à jour urgente pour Internet Explorer, qui corrige plusieurs failles de sécurité
    Mise à jour du 30/03/10 (Djug)
    Microsoft publiera cette après midi une mise à jour urgente pour internet explorer, qui corrigera plusieurs failles de sécurité.

    Microsoft a annoncé hier la mise en ligne cette après midi d’une mise à jour urgente pour les versions 6 et 7 d’internet explorer.



    Ce patch proposé hors cycle du patch Tuesday (un ensemble de correctifs diffusés le deuxième mardi de chaque mois), consiste à corriger des failles qui concernent toutes les versions d’internet Explorer y compris IE8, et sur tous les systèmes d’exploitation y compris Windows 7 et Windows server 2008 R2.

    Microsoft n’a pas donner les détailles de ces failles de sécurité qui sont qualifiées de critique, et précise que ce patch concernera en particulier une faille dans les versions 6 et 7 d’internet d’explorer, mais il contient également des correctifs pour 9 autres failles qui affectent également la version 8 du navigateur.

    qu'en pensez-vous?


    Source :


    Microsoft Security Bulletin Advance Notification for March 2010
    Internet Explorer Cumulative Update Releasing Out-of-Band
    Microsoft Security Bulletin Advance Notification for March 2010



    voir aussi:
    la rubrique sécurité








    Une faille de sécurité d’internet explorer qui se déclenche via la touche F1
    sur les anciennes versions de windows.

    Microsoft vient de confirmer sur un bulletin d'alerte l’existence d’une faille de sécurité au niveau d’internet explorer (toutes versions confondues) utilisé sur les anciennes versions de ses systèmes d’exploitation, et qui concerne le moteur VBScript et les fichiers Windows Help.



    Cette faille de sécurité ne concerne que les systèmes Windows XP, Windows 2000 et Windows server 2003.

    Selon Maurycy Prodeus le chercheur qui a découvert cette vulnérabilité, cette faille peut être utilisée en invitant les internautes à un site conçu spécialement pour l’exploiter, et de les inviter à presser la touche F1, ce qui permettra d’exécuter un code arbitraire sur la machine de la victime.

    Microsoft n’a pas encore publié de correctifs pour cette faille, mais en attendant le prochaine « Patch Tuesday» prévu le 9 mars prochain et qui peut contenir un correctif pour cette faille, David Ross propose sur le blog sécurité de microsoft deux solutions temporaires :

    - Ne jamais presser la touche F1 si un site internet le demande.

    - Ou utiliser la commande suivante :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    cacls "%windir%\winhlp32.exe" /E /P everyone:N
    Pour désactiver l'aide de Windows


    Qu’en pensez-vous ?


    Source :

    Le bulletin d'alerte de microsoft

    Le blog de sécurité de microsoft

    Voir aussi :

    Black Hat : Une faille dans IE transforme tout PC en un serveur public

    La rubrique sécurité

  2. #2
    Membre confirmé
    Homme Profil pro
    Développeur Java
    Inscrit en
    Juin 2005
    Messages
    64
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Juin 2005
    Messages : 64
    Par défaut
    Une de plus...
    Ce que j'en pense : Rien.
    Nul logiciel n'est parfait, surtout pas IE.

  3. #3
    Membre éclairé
    Profil pro
    Développeur Java
    Inscrit en
    Mars 2004
    Messages
    624
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Mars 2004
    Messages : 624
    Par défaut
    Pour les linuxiens ? Simplement ceux qui n'utilisent pas IE (FireFox, Safari, Chrome, Opera...)

    Les linuxiens réagissent à windows pas IE.

  4. #4
    Membre éclairé
    Homme Profil pro
    Consultant informatique
    Inscrit en
    Septembre 2006
    Messages
    572
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant informatique

    Informations forums :
    Inscription : Septembre 2006
    Messages : 572
    Par défaut
    (lueur d'espoir) peut être qu'ils vont enfin désactiver ce #¤*! de F1 !

  5. #5
    Membre confirmé
    Profil pro
    Étudiant
    Inscrit en
    Janvier 2007
    Messages
    126
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 126
    Par défaut
    [Voix de Coluche]
    Ouiii heeu toussaaa, avec mes camaraaaades linuxiens, comme on a souvent raison, on s'autorise à penser que Internet Explorer est un navigateur de m...
    [/Voix de Coluche]

    Trêve de plaisanterie...
    Comme cela a déjà été dit, des failles, y'en a souvent, y'en a partout, et pas seulement sur des softs propriétaires, fermés et qui ne respectent pas les normes.

    N'empeche c'est quand même assez étonnant "une faille si on appuie sur F1"...Je n'y connais pas grand chose, mais je me demande comment cela fonctionne

  6. #6
    Membre averti
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    21
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 21
    Par défaut
    "...Je n'y connais pas grand chose, mais je me demande comment cela fonctionne
    ... en appuyant avec le doigt ???

  7. #7
    Membre émérite Avatar de Jidefix
    Profil pro
    Inscrit en
    Septembre 2006
    Messages
    742
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations forums :
    Inscription : Septembre 2006
    Messages : 742
    Par défaut
    Citation Envoyé par Djug Voir le message
    Qu’en pensez-vous ?
    Qu'ils savent plus quoi inventer pour faire migrer les gens vers seven...

  8. #8
    Membre confirmé
    Profil pro
    Étudiant
    Inscrit en
    Janvier 2007
    Messages
    126
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 126
    Par défaut
    Citation Envoyé par flipflap Voir le message
    ... en appuyant avec le doigt ???
    Mais nooon...
    Je voulais dire :
    Comment fonctionne l'exploitation d'une telle faille, basée sur le fait d'appuyer ou non sur une touche ? D'autant plus quand il s'agit de la touche F1 chargée d'afficher l'aide....

  9. #9
    zul
    zul est déconnecté
    Membre chevronné Avatar de zul
    Profil pro
    Inscrit en
    Juin 2002
    Messages
    498
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2002
    Messages : 498
    Par défaut
    On peut supposer justement que l'appel à F1 lance l'éxecution d'un processus (lié à la gestion de l'aide en général) interprétant des données venant de la page courante. Celle-ci est contrôlée entièrement par l'attaquant, il peut, si justement il y a un bug dans ce processus, éxecuter ce qu'il veut.

    Sinon, j'aime beaucoup le "ne concerne que XP, 2K, 2K3". C'est un peu ne concerne que 70% des systèmes (si l'on en croit les statistiques présentés dans un autre thread). Allez n'ayons pas peur, ça fera que "quelques" botnets en plus .

    Autre solution : -> arrêter d'utiliser IE ?

  10. #10
    Membre régulier
    Inscrit en
    Février 2010
    Messages
    13
    Détails du profil
    Informations personnelles :
    Âge : 37

    Informations forums :
    Inscription : Février 2010
    Messages : 13
    Par défaut
    Vous n'avez pas tout compris, c'est une nouvelle méthode pour faire de son PC un serveur de fichier en un Clique, euh... plutôt en une touche !!!!

  11. #11
    Membre éclairé

    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juillet 2009
    Messages
    966
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Juillet 2009
    Messages : 966
    Par défaut
    Pour la faille, c'est pas bien grave, puisque même certains ici sur le forum ignorent l'existence de la touche F1

  12. #12
    Membre confirmé
    Profil pro
    Étudiant
    Inscrit en
    Janvier 2007
    Messages
    126
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 126
    Par défaut
    Pour revenir sur la partie "technique" de cette info :
    Ce qui m'étonne, c'est que l'aide que l'on obtient en appuyant sur F1, dans IE est une aide locale : elle fait appel à un .chm (probablement binarisé, quoique...) se trouvant sur la machine cliente.
    Du coup, c'est pour cela que je ne comprends pas en quoi et comment l'utilisation de F1 peut permettre une attaque...

  13. #13
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par Djug
    Qu’en pensez-vous ?
    A faire une bonne blague aux utilisateurs d'IE6 en forçant l'installation d'IE7

  14. #14
    ILP
    ILP est déconnecté
    Membre éclairé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    Mai 2002
    Messages
    258
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2002
    Messages : 258
    Par défaut
    Citation Envoyé par Djug Voir le message
    Cette faille de sécurité ne concerne que les systèmes Windows XP, Windows 2000 et Windows server 2003.
    Dans la version de base, oui. Mais si on installe le support des fichier HLP, Vista et Seven deviennent victimes de la faille.
    Malheureusement plein de vieux programmes installent WinHlp32.exe pour pouvoir lire leurs fichiers d'aide .

  15. #15
    Membre Expert
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 419
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 419
    Par défaut
    Citation Envoyé par Djug Voir le message
    David Ross propose sur le blog sécurité de microsoft deux solutions temporaires :

    - Ne jamais presser la touche F1 si un site internet le demande.

    - Ou utiliser la commande suivante :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    cacls "%windir%\winhlp32.exe" /E /P everyone:N
    Pour désactiver l'aide de Windows
    Ils ne sont pas capable de faire un correctif d'urgence pour désactiver l'aide temporairement ?
    Ça me parait la base, surtout que ça doit pas peser lourd comme modification en ko et que du même coup tous ceux qui leur font confiance restent en sécurité...(maj auto de windows update)

  16. #16
    Expert confirmé
    Avatar de smyley
    Profil pro
    Inscrit en
    Juin 2003
    Messages
    6 270
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2003
    Messages : 6 270
    Par défaut
    Citation Envoyé par pmithrandir Voir le message
    Ils sont pas foutu de faire un correctif d'urgence pour désactiver l'aide temporairement ?
    Il faut croire que c'est à la mode de laisser les utilisateurs faire le boulot ... un peu comme avec Adobe

  17. #17
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 683
    Par défaut
    Citation Envoyé par pmithrandir Voir le message
    Ils sont pas foutu de faire un correctif d'urgence pour désactiver l'aide temporairement ?
    Ca me parait la base, surtout que ca doit pas peser lourd comme modif en ko et que du même coup tous ceux qui leur font confiance reste en sécurité...(maj auto de windows update)
    Moi j'aime bien le "n'appuyer pas sur F1", à la prochaine faille de sécurité de Windows ils vont dire de ne plus allumer son ordinateur?

  18. #18
    Membre très actif
    Avatar de Cyrilange
    Profil pro
    Inscrit en
    Février 2004
    Messages
    268
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2004
    Messages : 268
    Par défaut
    Tu appuies sur la touche F1 pour avoir de l'aide et en retour tu te fais hacker...voilà un paradoxe absolument illarant !

    J'adore IE et j'attend avec impatience la version 9.
    http://ie.microsoft.com/testdrive/

  19. #19
    Membre confirmé
    Inscrit en
    Octobre 2009
    Messages
    86
    Détails du profil
    Informations personnelles :
    Âge : 36

    Informations forums :
    Inscription : Octobre 2009
    Messages : 86
    Par défaut
    Une faille de sécurité d’internet explorer qui se déclenche via la touche F1

Discussions similaires

  1. Microsoft déploie une mise à jour pour Windows Phone 8
    Par Hinault Romaric dans le forum Windows Phone
    Réponses: 0
    Dernier message: 12/12/2012, 16h51
  2. Réponses: 2
    Dernier message: 09/10/2012, 17h14
  3. Microsoft publie une mise à jour du Client SkyDrive pour Windows
    Par Hinault Romaric dans le forum Cloud Computing
    Réponses: 3
    Dernier message: 16/07/2012, 12h28
  4. Réponses: 0
    Dernier message: 09/05/2012, 09h54
  5. Réponses: 0
    Dernier message: 06/03/2012, 12h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo