Failles dans les navigateurs à onglets
Le site de sécurité Secunia a publié hier deux failles de sécurité s'appliquant aux butineurs permettant une navigation par onglets. Ces vulnérabilités permettraient à une personne malintentionnée de collecter les données introduites dans un formulaire.
Elles concernent toutes deux les onglets inactifs du navigateur. Dans le premier cas, cet onglet inactif peut lancer une boîte de dialogue, apparemment ouverte par l'un des sites consultés dans un autre onglet. L'exploitation de cette vulnérabilité implique que l'utilisateur clique sur un lien provenant d'un site malicieux vers un site connu. Les navigateurs concernés par cette faille sont Konqueror, Mozilla/Firefox, Opera, Netscape, Avant Browser, Maxthon et Safari.
La seconde vulnérabilité permet de récupèrer des données collectés lorsque l'utilisateur rempli un formulaire d'un site connu. Ceci est rendu possible lorsqu'un onglet inactif reçoit le focus d'un formulaire présent sur un site sur lequel vous naviguez dans un autre onglet. Une fois encore, cette vulnérabilité nécessite le clic de l'utilisateur sur un site malicieux vers un site connu. Cette fois, les navigateurs affectés sont Mozilla/Firefox, Maxthon, Avant Browser et Netscape.
Secunia fourni également deux liens pour tester chez vous ces vulnérabilités.
- SuperPack Plus ! pour Windows XP
- ADSL 2+ : France Telecom répond à Free
- Le HD-DVD dans les portables Toshiba en 2005
- Images tactiles, vers des applications
- Grosse promotion sur les portables Dell
- Red Hat débauche chez Sun
- DDR2 Edition limitée chez OCZ
- Smartplug : CPL pour 2005
- Intel baisse le prix des Pentium M
- Intel annonce le Pentium M 765
- Projet f@h : L'alliance Francophone a 3 ans !
- Nouveaux écrans LCD chez BenQ
- L'Athlon 64 environ 20% plus économique
- Le Sonoma d'Intel en janvier prochain
- Forceware en version 66.81 disponibles
- Production de DRAM en baisse et demande en hausse
- Partner Pack pour Windows XP
- Version 2.3.3 de FRAPS







Il faut utiliser IE !
hum ...
Le premier me semble assez dur a corriger, mais pour le deuxieme suffit d'interdire a un formulaire de prendre le focus si il est pas dans l'onglet actif
Bon franchement je me fais vraiment pas trop de souci car dans un très petits nombres de jours ces failles n'existeront plus...
Je préfères avoir 2 petites failles vite corrigée que une grosse faille jamais corrigée (IE) n'es-ce pas coolos2b.
Il faut utiliser IE !
Internet Explorer Multiple Vulnerabilities
Secunia Advisory: SA12806 Print Advisory
Release Date: 2004-10-12
Last Update: 2004-10-20
Multiple vulnerabilities have been reported in Internet Explorer, where the most critical can be exploited by malicious people to compromise a user's system.
Tu peux...
Personne n'est parfait ;-)
Edit:http://secunia.com/advisories/12806/
Surtout que la faille utilise JavaScript ... et les sites qui demandent des mot de passe par JavaScript sont pas forcement les plus sécurisés à la base
Bon maintenant petit concours, lequelle de ces browser aura le plus de réactivité pour corrigé ses failles.
Je ne sais pas la réponse mais j'ai déjà ma petite idée
(mot commençant par F)
mode troll :
une fenetre ca n'a pas beaucoup de reactivité ^_^
La seconde faille(la seule vraiment importante) est déjà corigée depuis quelque temps.
La première n'est pas vraiment un problème. Et il peut etre résolu en donnant le focus a la tab d'origine au moment ou la fenetre s'affiche
Bon maintenant petit concours, lequelle de ces browser aura le plus de réactivité pour corrigé ses failles.

Je ne sais pas la réponse mais j'ai déjà ma petite idée
(mot commençant par F)
Finternet Explorer
La seconde faille(la seule vraiment importante) est déjà corigée depuis quelque temps.
La première n'est pas vraiment un problème. Et il peut etre résolu en donnant le focus a la tab d'origine au moment ou la fenetre s'affiche
comment deja ?
Vu sur mozillazine:
Il suffit d'ouvrir dans une nouvelle fenêtre pour contrer cette faille, vu que c'est la fenêtre qui contient le code suspect qui prend le focus.
rab, j'utilise jamais les onglets
ouais, enfin ce sont plutot des bugs que des failles.
Pour le bogue du focus, on se rend bien compte que le texte tapé n'apparait du moins pas là ou on voudrait.
petite pause de trollage
http://www.securityfocus.com/archi [...] 04-10-21/2
petit article très interressant qui consiste a quelques test sur 4 navigateurs (IE, netscape, mozilla, fire fox).. on y remarque que tous presentent des failles de depassement de buffer ou de null pointer
Et que ô surprise, le nvigateur qui a le mieux reussit au test n'est pas celui qui a la meilleur réputation....
Vala, c'est tout.. vous pouvez reprendre votre masturabation collective a la gloire de FF
N'oubliez pas de jeter un oeil a ces petites page HTML toutes simple :
http://lcamtuf.coredump.cx/manglem [...] _die1.html
http://lcamtuf.coredump.cx/manglem [...] _die2.html
http://lcamtuf.coredump.cx/manglem [...] _die3.html
rev-lis > C'est marrant, le mec ne présente que des codes qui font cracher tous les navigateurs sauf IE ... Et pourtant ce ne sont pas les exemples qui manques

Ca ne montre qu'une chose : aucun soft n'est infaillible ... Il y en a qui s'en sortent mieux que d'autres
petite pause de trollage
http://www.securityfocus.com/archi [...] 04-10-21/2
petit article très interressant qui consiste a quelques test sur 4 navigateurs (IE, netscape, mozilla, fire fox).. on y remarque que tous presentent des failles de depassement de buffer ou de null pointer
Et que ô surprise, le nvigateur qui a le mieux reussit au test n'est pas celui qui a la meilleur réputation....
Vala, c'est tout.. vous pouvez reprendre votre masturabation collective a la gloire de FF
N'oubliez pas de jeter un oeil a ces petites page HTML toutes simple :
http://lcamtuf.coredump.cx/manglem [...] _die1.html
http://lcamtuf.coredump.cx/manglem [...] _die2.html
http://lcamtuf.coredump.cx/manglem [...] _die3.html
Tu mélanges l'utilisation d'un bug pour planter un navigateur et la possiblité de prendre le controle d'un système via un navigateur. TU mélanges bug et faille crstique.
C'est comme si tu comparaissais la qualité d'un fauteuil de voiture avec l'efficacité de sa carrosserie
Si tu es content de surfer avec une passoire c'est bien parce que c'est la qu'est la masturbation, croire qu'on est sur un navigateur sur alors qu'on chevauche une belle carotte
Ah oui j'oubliais le plus important : la qualité d'un soft se mesure avec le temps de réactivité et le suivi sérieux fait par les développeurs. De ce côté là, IE a été abandonné, Mozilla/FFox et cie sont suivi de façon quas quotidienne. Choses très rares dans le soft grand public.
A méditer...
Le pire c'est pour les utilisateurs de Maxthon, ils ont cette faille + toute celles de IE

Sinon pour Moz/FF sa sera corrigé, et en plus ces failles ne sont pas critiques
Le pire c'est pour les utilisateurs de Maxthon, ils ont cette faille + toute celles de IE
Faux car Maxthon ne fut pas touché lorsque des failles type url-spoofing ou de drag and drop ont touché IE. Parceque justement le moteur est le meme, mais pas l'interface !
Sinon pour Moz/FF sa sera corrigé, et en plus ces failles ne sont pas critiques
C'est beau ça bravo.
Faux car Maxthon ne fut pas touché lorsque des failles type url-spoofing ou de drag and drop ont touché IE. Parceque justement le moteur est le meme, mais pas l'interface !
On trouve deux failles et toi tu es content parceque "tu penses" que ca va être plus vite corrigé.... pfff.
C'est beau ça bravo.
Squall faut que tu saches que le Mozilla forum corrige très rapidement les bugs et failles. De plus Nicoprog a raison lorsqu'il dit que les faille de IE touchent les surcouches. Surtout que les failles critiques sont plus liées au moteur qu'à l'interface...
Allez fait un effort, passe du côté obscure de la force des navigateurs
Ce ne sont pas des failles.. veuillez utiliser les bons termes au moins.
Et je ne connais pas de site banquaire (par exemple) qui demande le mot de passe via du javascript, qui plus ait un popup (ce qui est ridicule)..
Et faille ou pas ce n'est pas le problème. Mozilla est une organisation très active et bénévole. J'insiste sur le bénévole car on a tendance à l'oublier. C'est un superbe travail que réalise la communauté, et ceci mérite le respect, bug ou pas.
IE c'est différent, des gens sont payés pour créer les applications, et forcément lorsqu'il y a un bug critique, c'est beaucoup moins acceptable.
Imaginons que je vous offre une voiture.. Libre à vous de la prendre.. Vous pouvez toujours la démonter pour voir son état par vous même.. Mais si vous avez un pépin avec, faudra pas venir pleurnicher, je vous l'ai donné et je vous ai prévenu qu'il n'y avait pas de garantie
(FireFox n'étant pas encore en version finale d'ailleur).
Maintenant je vous vend une voiture et je vous dis qu'elle est sécurisée, entre autre.. (suffit de lire les écrans de texte que balance Windows pendant l'install).
Et que vous avez un pépin avec.. ok la vous pouvez gueuler, vous avez payé pour une soit disant sécuritée qui n'est pas réellement la.. Et en plus, le service après vente est plutot lent à la réaction (réactivité de Microsoft face au bugs)
Alors est-ce que l'on peut plus gueuler sur Microsoft que sur la fondation Mozilla?
Oui, car c'est souvent menssongé, comme toute entreprise qui cherche a faire du profit.
Mais est-ce qu'on a le droit de se plaindre lorsqu'il y a un pépin sous Mozilla?
Non, vous n'avez "signé" aucun contrat et personne ne vous a dis que le logiciel était sans risque
petite pause de trollage
http://www.securityfocus.com/archi [...] 04-10-21/2
petit article très interressant qui consiste a quelques test sur 4 navigateurs (IE, netscape, mozilla, fire fox).. on y remarque que tous presentent des failles de depassement de buffer ou de null pointer
Et que ô surprise, le nvigateur qui a le mieux reussit au test n'est pas celui qui a la meilleur réputation....
Vala, c'est tout.. vous pouvez reprendre votre masturabation collective a la gloire de FF
N'oubliez pas de jeter un oeil a ces petites page HTML toutes simple :
http://lcamtuf.coredump.cx/manglem [...] _die1.html
http://lcamtuf.coredump.cx/manglem [...] _die2.html
http://lcamtuf.coredump.cx/manglem [...] _die3.html
Tu vas un peu vite que le navigteur plante ne signifie en rien qu'il y a une faille tout au plus cela marque une possible vulnérabilité qu'il faut vérifié par la suite.
C'est marrant tous ces troll pro ie
[mon troll à moi] Ce serait pas ceux qui traitent les linuxiens - ou assimilés - d'intAigriste qui essaient tant bien que mal de défendre ce navigateur ???[/mon troll à moi]
Bon sinon à mon sens ici ce n'est pas ff ou opera ou bidule qui est ciblé mais le concept meme des onglets et ses faiblesses. Pas de de doute à avoir par contre sur le réactivité des acteurs (ms n'en fait pas partie)
Pour les pro IE. Vous avez vu ca hier ?
http://secunia.com/advisories/12889/
Cherchez pas de correctif hein, focalisez vous juste sur les conseils donnés par le site pour solutionner le problème
Après ca revenez défendre tranquilement votre soft qui explore le monde de l'internet
resultat: je suis bien content de pas me servir des onglets (d'une part parce ue c'est pas pratique, ensuite c'est moche et ca reduit l'espace visible)
resultat: je suis bien content de pas me servir des onglets (d'une part parce ue c'est pas pratique, ensuite c'est moche et ca reduit l'espace visible)
Waouuu ça c'est de la pertinence
resultat: je suis bien content de pas me servir des onglets (d'une part parce ue c'est pas pratique, ensuite c'est moche et ca reduit l'espace visible)
???????t'as quoi comme affichage, un 2"?????
je suis pour ma part perplexe, car le seul cas où cela pourrait être critique, c'est lors de mes achats en ligne, et comme dit plus haut, ce truc n'est utilisé par aucun site, mais j'attends avec impatience le correctif...
mais il me vient une question : comme c'est du javascript, est-ce que le javaruntime que j'ai installé a une quelconque affaire avec ce problème?
???????t'as quoi comme affichage, un 2"?????
non mais tous les pretextes sont bons. J'ai pas encore trouvé d'avantages a l'utilisation des onglets alors bon
non mais tous les pretextes sont bons. J'ai pas encore trouvé d'avantages a l'utilisation des onglets alors bon![[:spamafote]](http://img.infos-du-net.com/forum/images/perso/spamafote.gif)
Ca me rappel neo qui trouvait que la drapal feature n'avait aucun interêt.
Ca me rappel neo qui trouvait que la drapal feature n'avait aucun interêt.
cherche pas la petite bete, cette feature en gros c'est rajouter une barre des taches dans une fenetre