Est-ce normal que le lien renvoie vers un EXPLOIT.CVE-2010-1885.b ?Envoyé par Gordon Fowler
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Est-ce normal que le lien renvoie vers un EXPLOIT.CVE-2010-1885.b ?
Divulguer une faille de sécurité avant la publication d'un patch est tout simplement irresponsable.
La faille découverte par un employé de Google exploitée sur: 10.000 PC
Sous Windows XP, selon les chiffres de Microsoft
Mise à jour du 01/07/10
Microsoft vient de révéler que la faille de Windows XP découverte au début du mois par un ingénieur de Google, Travis Ormandy, avait effectivement été exploitée.
Ormandy avait décidé de publier un PoC (Proof of Concept, ou preuve de faisabilité) ce qui n'avait pas manqué de provoquer la colère de Microsoft.
Face aux critiques, Ormandy avait alors affirmé qu'il avait essayé de convaincre Microsoft de l'importance de cette faille pendant 60 jours.
Toujours est-il que, d'après Microsoft, sa démonstration a donné des idées aux cybercriminels. Les premières attaques ont été repérées vers le 15 juin, « ces premiers exploits étaient ciblés et plutôt limités. Mais depuis les dernières semaines ils ont atteint un pic », peut-on lire sur le blog de Microsoft qui avance ce chiffre de 10.000 PC attaqués avec succès.
Le PoC d'Ormandy permet de télécharger et d'installer des logiciels malicieux, des virus et des Trojans. Un malware, baptisé Obitel, permet par exemple de télécharger encore plus d'applications malveillantes.
Le 10 juin, Micosoft avait publié un bulletin de sécurité qui expliquait comment se protéger en désactivant notamment le Centre d'Aide et de Support de l'OS.
Les PC les plus touchés sont localisés en Russie et au Portugal, pays cousin du Brésil également fortement concerné (et base arrière de plus en plus active des attaques des cybercriminels). Les Etats-Unis et l'Allemagne sont également très ciblés.
Ces chiffres relancent la polémique sur le fait de savoir si Ormandy a été inconscient de publier ce PoC, ou s'il appartenait à Microsoft de réagir en urgence.
Toujours est-il que le prochain patch de sécurité pour Windows XP est attendu, de manière traditionnelle, pour le deuxième mardi de ce mois (le 13 juillet).
Que pour le 13 juillet ?
Source : Billet de Microsoft
Et vous ?
Ormandy a-t-il été inconscient de publier ce PoC ou appartenait-il à Microsoft de réagir en urgence ?
comment ils font pour avoir tes ces chiffres sur les pc infectés?
De par leurs attitudes irresponsables et irrespectueux de leurs clients, tant Microsoft que google méritent le bannissement de tous les PC
Hélas, à ce jour, c'est tout simplement irréaliste
Les deux sont des voleurs d'informations personnelles, se font la guerre en utilisant les simples utilisateurs comme chair à canon !
Comment l'un comme l'autre peuvent-ils pour l'un refuser de patcher une faille et pour l'autre faire du chantage.
Avec toutes les lois liberticides américaines, il y en aurait bien une qui condamnerait les deux pour d'une part malvaillance volontaire refus de corriger un produit avec un gros défaut de fabrication et pour l'autre, pour incitation au piratage !
Voilou
j'ai posté mon 1/4 d'heure de colère avec une bonne dose d'utopiste !
BOMBARDÉ google et microsoft de mail de mécontentement !
la masse devrait les faire réagir (enfin peut-être)
Couik
Ils utilisent les retours de leurs anti-virus (Forefront et Security Essential).
J'ai même l'impression que certains virus exploitent la faille de Windows XP et celle d'Adobe Reader
.
Tellement gros qu'il a fallu un chercheur et attendre neuf ans pour le trouver.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
Alors là, +1000
Ceci dit, je reste non surpris de ce qui se passe, mais je ne pensais pas que google serait aussi heu... vilain moche etc...
Dernière modification par Mejdi20 ; 02/07/2010 à 14h55.
En même temps, si n'avait pas fait ça comment prouver ses dires ? A ce que je sache personne ne condamne les chercheurs en physique nucléaire, parce qu'il prouve qu'une bombe atomique peut être encore améliorée ?
De même sur ceux qui ont publié des recherches sur la manipulation mentale des sectes (et donc comment faire pour créer une secte)
Je pense qu'on les condamnerait si, pour le prouver ils en faisaient exploser une au-dessus d'une ville, non ?
Ça, c'est plus condamnable, à mon sens.
En même temps, plutôt que de mettre au pied du mur Microsoft, dans la discrétion ; dire publiquement avec un compteur que le PoC serait publié serait plus motivant car dans ce cas, Microsoft serait face à ses clients...
La publication, comme la presse en général est une arme terriblement efficace... ne s'en servir qu'au final devient alors preuve de chantage avec un soupçon de malhonnêteté du publicateur
Tout ceci est une vaste histoire de gros sous, de déstabilisation comme Microsoft (et bien d'autres) utilise régulièrement...
Moral et affairisme ne font jamais bon ménage, et les clients seront toujours et encore victime
Lamentable...
Dernière modification par Invité1 ; 07/07/2010 à 13h33.
La naïveté de certains me fait frémir.
Microsoft est loin de faire partie du monde des Bisounours, et leur politique en matière de sécurité est vraiment laxiste.
Dès le début d’internet Microsoft a été le premier à mettre en place dans ses systèmes des moyens de contrôle à distance sans que les utilisateurs puissent vraiment en avoir conscience.
Les activeX et j’en passe.
Ce n’est seulement qu’après qu’ils se sont rendus compte que les moyens intrusifs qu’ils ont laissés pour eux pouvaient aussi faire le bonheur des pirates.
Et cette prise de conscience ne s’est faite que très récemment, même si je ne suis pas vraiment convaincu qu’il en ait vraiment fait le nécessaire pour que leur mentalité ait changée.
Alors oui, XP est une vraie passoire, et se passer d’antivirus est un suicide électronique.
Oui, les possibilités d’intrusion sur les systèmes de Microsoft semblent inépuisables, d’autant plus qu’ils sont la cible privilégiée des pirates de par le parc installé.
Parler de sécurité avec M$ est tabou, et gare à ceux qui mettent en place publique la déficience évidente de Microsoft en matière de sécurité.
Ayez une pensée pour les experts en sécurité, eux qui veillent vraiment au grain et font leur possible pour aider à colmater le rafiot, qui en ont par-dessus la tête du mépris que leur témoigne Microsoft à leur égard ; sachant du peu de moyens que Microsoft attribut à la sécurisation de ses systèmes, alors que cette société engrange des milliards chaque année…
Si vous vous pensez à de l’irresponsabilité, je suis bien d’accord : Microsoft à vraiment agit sur ce coup là encore de manière irresponsable ; elle aurait au moins pu se fendre d’un petit mail de suivi aux dev de Google, pour l’aider à patienter… indéfiniment sans doute…
Microsoft colmate la faille mise à jour par l'ingénieur de Google
Le patch mensuel de demain mettra-t-il fin à la polémique ?
Mise à jour du 12/07/10
Alors que la polémique continue entre ceux qui considèrent que Travis Ormandy a eu raison de publier un PoC pour forcer Microsoft à réagir à une vulnérabilité présente dans le Centre d'Aide et de Support de plusieurs de ses OS (lire ci-avant), et ceux qui considèrent ce comportement est irresponsable, le traditionnel patch de sécurité du deuxième mardi du mois de Redmond arrive.
Il marque d'une part la fin du support de Windows XP SP2. Et celle, d'autre part, de cette faille mise à jour par l'ingénieur de Google et exploitée - d'après les dires de Microsoft - sur plus de 10.000 machines.
Pas sûr en revanche qu'il puisse clore à lui tout seul le débat autour de Travis Ormandy.
Mardi dernier, un groupe anonyme a en effet déclaré vouloir se venger de Microsoft et de "sa campagne anti-Ormandy" en cherchant d'autres vulnérabilités de Windows.
Travis Ormandy n'a de son coté pas réagi à l'annonce de la formation de ce groupe de soutien d'un nouveau type.
Bonjour,
Preuve que Microsoft est bien capable de faire son travail.
Dans le secteur automobile, le défaut de fabrication ne souffre pas de date limite de découverte. Dans le secteur informatique, les bug majeurs, impliquant un risque sérieux pour les utilisateurs ne doivent pas souffrir non plus de limite de date quant à leur correction. Cela incitera les éditeurs à soit publier un soft mieux fini (nouvelle habitude à prendre par Microsoft entre autre) et à se responsabiliser car il est facile de mettre dans les CGV : "Nous ne sommes tenu pour responsable en cas de perte de données... etc... pour le mauvais produits qu'on vous a vendu..."
Menacer de publier la faille et son mode d'exploitation au bout d'un délai raisonnable semble porter ses fruits... mais attention : cela est à double tranchant...
Couik
Dernière modification par Mejdi20 ; 12/07/2010 à 14h10.
Le problème aussi c'est de maintenir le support des vieilles technologies trop longtemps. Le SP2 d'XP aurait dû être abandonné dès la sortie du SP3.
Pareil pour IE6, dès que le 7 est sorti, la mise à jour aurait dû être rendue obligatoire. Pareil pour le passage du 7 au 8. La maintenance n'en serait que plus facile.....
Heu... encore faut-il définir "trop longtemps".
Parce qu'il ne faut pas oublier que le passage d'une solution à une autre, pour une entreprise, a un coût non négligeable. Si l'éditeur fournit des dates de support, évolution et maintenance garanties à l'achat, il doit s'y tenir.
On ne peut rendre obligatoire une évolution impliquant de nouveaux investissements ou cassant une rétro-compatibilité de logiciels. Sinon, bonjour les dérives ^^'
Il ne faut pas oublier que dans un système, de nombreux éléments sont inter-dépendants.
J'ajouterais que le fait même d'avoir des standards très personnalisés à la sauce Microsoft suppose une remise en question permanente des développements propre aux entreprises
Microsoft n'est pas un modèle de compatibilité entre chaque version...
Il serait alors dangereux pour lui d'imposer les mises à jours... à moins de changer de mentalité pour permettre un réel choix pour l'entreprise... mais là, on en est loin.
Répondre avec citation
Partager