Vulnérabilité dans Explorer après application du SP2

13:21 - mercredi 18 août 2004 par Jimmy Rudolf - source: MSFN

Le Service Pack 2 pour XP introduit une nouvelle fonctionnalité de sécurité, le Zone Identifier, déterminant la zone de sécurité de tout objet. Dans certains cas, il est possible qu'Explorer n'alerte pas l'utilisateur à l'ouverture d'un objet.

Un rapport rédigé par Jurgen Schmidt de Heise Security indique que les fichiers téléchargés depuis une zone non sécurisé en utilisant Internet Explorer ou Outlook Express sont marqués avec un Zone Identifier "3". Si un utilisateur ouvre ce fichier, il sera averti qu'un danger potentiel existe.

Mais ce rapport indique également que Explorer met en cache ce Zone ID, et peut ne pas reconnaître un changement de zone. Ainsi, si un fichier ayant un Zone ID indiquant une zone sécurisée écrase un fichier d'une zone non sécurisée, Explorer ne préviendra pas l'utilisateur qui ouvrira ce fichier.

Bien qu'aucune solution ne soit encore proposée, le rapport déclare qu'il ne s'agit pas là d'une faille de sécurité. Etant donné que Microsoft a tout tablé sur la sécurité, et qu'il continuera de le faire vu sa nouvelle politique, nous devrions voir prochainement un correctif arriver sur ses serveurs de téléchargement.

Commentaires
Ajouter un commentaire
Lire les commentaires sur le forum
csflo 18/08/2004 13:24
Masquer
-0+

ave le SP2 de nouvelles failles commencent

franvoz 18/08/2004 13:36
Masquer
-0+

hillarant,

encore une explication de + à mon arc pour expliquer pq je n'installerais pas ce SP2

fgruat 18/08/2004 13:52
Masquer
-0+

bof pas trop grave ce prob avant le sp2 xp ne previent jamais
apres le sp2 il previent mais ont peut le bluffer
un truc quand meme ...
telecharger 2 fois un fichier portant le meme nom ca arrive pas tout les jours ....

et que d'un telechargement a l'autre il change de classification c'est encore plus rare ...

je sens que certain vont s'ammunser a les trouver les prob surtout si microsoft les remunere maintenant...

enfin la il est DSC vut que microsoft qualifie pas ca de faille de securité il touchera pas la prime le Jurgen Schmidt

Roro2003 18/08/2004 13:55
Masquer
-0+

En tous cas, l'écran de démarrage c'est celui de la version PRO (barre de chargement en bleu) et il n'y a plus écrit "édition familiale"

Del Gro Badeu 18/08/2004 13:56
Masquer
-0+

le truc, c'est que c'est un objet et pas forcément un téléchargement manuel .. donc une page ou un mail prévu pour exploiter la faille s'en débrouillera tres bien ...

j'trouve que c'est un peu comme le probleme avec le XUL sous mozilla/firefox, ya moyen de l'éviter si on a un peu de jugeotte ... mais bon, XUL a la base c'est quand meme une idée de génie alors que les Zones de IE :sarcastic: c'est pour dire quoi [:lol2]

dommage que je puisse pas rester devant mon PC cet aprem, ce topik me plait deja :D :D :D

dju 18/08/2004 14:04
Masquer
-0+

quoi une faille ? déjà ? :whistle:

mopoulpo 18/08/2004 14:07
Masquer
-0+

Un petit windowasher accouplé avec le couple Pestpatrol + AV à jour devrait protéger de tout cela :)

Arkos M Reed 18/08/2004 14:22
Masquer
-0+

franvoz a écrit :

hillarant,

encore une explication de + à mon arc pour expliquer pq je n'installerais pas ce SP2



t'a raison, installe pas le SP2, autant marcher le cul a l'air sur une plage gay, tu demande qu'a te faire enculer par le 1er qui passe :D

ailef 18/08/2004 14:31
Masquer
-0+

y'en a qui aiment ça :-))

Darts 18/08/2004 14:31
Masquer
-0+

Et de une :-)

ailef 18/08/2004 14:32
Masquer
-0+

last news : franvoz upgrade to win95

Patch 18/08/2004 14:56
Masquer
-0+

:non: win3.1 :o

Antar 18/08/2004 15:05
Masquer
-0+

Arkos M Reed a écrit :

t'a raison, installe pas le SP2, autant marcher le cul a l'air sur une plage gay, tu demande qu'a te faire enculer par le 1er qui passe :D




On peut ne pas installer le SP2 et avoir les patchs de sécurités. Comme avec Win2000. Si les pros ne font pas cette mise à jour, ils ont raison, on en a la preuve aujourd'hui. Laissons tout ce monde finir les beta test et après on avisera :lol:

Arkos M Reed 18/08/2004 15:42
Masquer
-0+

Antar a écrit :

On peut ne pas installer le SP2 et avoir les patchs de sécurités. Comme avec Win2000. Si les pros ne font pas cette mise à jour, ils ont raison, on en a la preuve aujourd'hui. Laissons tout ce monde finir les beta test et après on avisera :lol:



meuuuh oui gros malin, tu pense que MS y a pas pensé a ca? les patchs nécéssiteront au minimum le SP2 pour s'installer, ne serait-ce que pour une question de dépendance de versions de DLL, ensuite, certaines failles ne sont corrigées QUE par le SP2, comme ils avait fait pour la faille des URI du help center avec le SP1 (genre click sur un lien et je t'efface le rep system32)

dju 18/08/2004 15:49
Masquer
-0+

ce qui est zarbe, c'est qu'au boot, j'ai 170Mo de memoire virtuelle chargée... avec firewall, autoconnect, norton, MBM...

alors qu'avant le SP2 j'étais à ~200Mo..


Merde alors, si MS optimise ses trucs, c'est quoi ce bordel ? [:dawa']

lamatin 18/08/2004 16:05
Masquer
-0+

encore une explication de + à mon arc pour expliquer pq je n'installerais pas ce SP2[/citation]
t'a raison, installe pas le SP2, autant marcher le cul a l'air sur une plage gay, tu demande qu'a te faire enculer par le 1er qui passe :D

lamatin 18/08/2004 16:08
Masquer
-0+

je comprends pk t si agressif arkos avec lui,il a amplement le droit de s'exprimé, si il a pas envie d'installer le pack 2 c son libre choix respecte le.
tu vas pas le traité car c pas un mouton de troupeaux com toi.

maxxyme 18/08/2004 16:18
Masquer
-0+

Par contre un petit edit des deux posts précédents ça ne ferait pas de mal... ;)

Arkos M Reed 18/08/2004 16:30
Masquer
-0+

un mouton? tu me sous-estime mon ptit gars, chuis encore pire, j'étais un betatesteur du SP2, dis toi que sans notre feedback, ça aurai pu être encore plus le foutoir
au fait, le mouton il est admin système pour une administration.
D'un point de vue professionel, ne pas installer le SP2 et ne pas se renseigner a son propos c limite débilité mentale et manquement grave aux politiques de sécurité que devrait mettre en vigueur toute société qui se respecte
Après, si lui est un particulier et que sa machine est bourrée de merdes programmées avec les pieds et qui ne passent pas sous SP2, bah, c son problème, limite je m'en fous tant qu'il ne vient pas raler que qqun l'a hacké avec son SP1 qui marche suuuper bien
oui chuis un poil violent, mais l'ignorance et la stupidité congenitale de certains de mes confrères et compatriotes français a tendance a me faire de plus en plus flamber le tableau de plombs

xam 18/08/2004 16:38
Masquer
-0+

Arkos M Reed a écrit :

un mouton? tu me sous-estime mon ptit gars, chuis encore pire, j'étais un betatesteur du SP2, dis toi que sans notre feedback, ça aurai pu être encore plus le foutoir
au fait, le mouton il est admin système pour une administration.


Arkos M Reed 18/08/2004 16:38
Masquer
-0+

o_O ?

xam 18/08/2004 16:41
Masquer
-0+

Arkos M Reed a écrit :

o_O ?


C'est pour te remercier. [:kryten]

Roro2003 18/08/2004 16:52
Masquer
-0+
csflo 18/08/2004 17:22
Masquer
-0+

les problèmes avec le SP2 commencent !

squall 18/08/2004 17:31
Masquer
-0+

Faut donc télécharger deux fichiers aux même endroits qui ont les mêmes noms, sachant que le premier doit être d'une zone sécurisée et le deuxième d'une zone non-sécurisée.

:pt1cable:

Bon en plus simple ça donne quoi ? Parcequ'à part les fichiers html et les images qui se téléchargent tout seul, faut quand meme télécharger le fichier et l'ouvrir ? :heink:

Panoramix 18/08/2004 17:46
Masquer
-0+

Moa j'attend le SP3 maintenant... :p

:D

squall 18/08/2004 17:47
Masquer
-0+

Toa, tu peux pas écrire en police normal ?

Panoramix 18/08/2004 17:53
Masquer
-0+

Si on te le demande... demande aux anciens... :p

dju 18/08/2004 18:07
Masquer
-0+

[:lol2]

yan55 18/08/2004 18:17
Masquer
-0+

en fait si tu as un bon firewall bien configure et un bon antivirus le sp2 tu peut tres bien t'en passer

Patch 18/08/2004 18:26
Masquer
-0+

squall a écrit :

Toa, tu peux pas écrire en police normal ?


il est bloqué sur italique, son neurone a buggué et on a jamais jamais réussi à le débugguer :D

Ce sujet ne peut plus être commenté.
Publicité
Publicité

Les offres du moment

Tout sur les
 Derniers articles sur les
Les disques durs 1.8

Les disques durs 1.8" ne sont pas morts
Nous comparons aujourd’hui 3 générations de disques durs Toshiba 1,8". Notre objectif : prédire l’avenir. Celui de ce segment du marché, en tout cas... Lire la suite

  • Projection : le futur d'AMD, Intel et NVIDIA
    Si les 10 dernières années ont été particulièrement riches en matière de 3D, que nous réserve le futur entre un AMD/ATI complémentaire et pragmatique, le mastodonte Intel et un NVIDIA qui dispose du meilleur portefeuille de technologies logicielles ? Lire la suite
Tous les articles

Newsletters


  • Besoin d'aide ? Publiez votre question
  • Publier
Recherches populaires