Nouvelles failles dans WMP et Internet Explorer

KuraObi a écrit:
mais évidemment je tiens pas compte des distrib linux qui sont pas vraiment des OS exploitables à mes yeux (à part eventuellement mandrake et red hat). Par définition Linux est un produit non fini qui sera jamais fini puisqu'il ne cesse jamais de se développer.

Un produit qui évolue ne veut pas dire que la version précédente n'était pas fini :pt1cable:

Pour ta gouverne, l'OS pas fini pour développeur patenté est de plus en plus utiliser dans les applications critiques pour les montages en cluster en particulier :sarcastic:

KP2 a écrit:

Va voir du cote d'openBSD pour voir comment ils font... et ils ne sont qu'une grosse 40aine...

forcement qu'avec seulement 40 utilisateurs y a moins de risques ! ! ! :ane:


oki oki je sort ...

KP2 a écrit:
pasque meme une mandrake non patchee a mille fois moins de prob qu'un windows...

quand a debian, c'est quand meme la seule distrib non commerciale a avoir des patchs de securite sans ajout de fonctionnalites ou regression.
Quand a la vitesse de sortie, y'a aucun bug critique qui reste plus d'une semaine ou 2.
M'enfin, on peut difficilement comparer sachant que les maj dans une distribs incluent aussi les maj des applis tierces (apache, mysql, etc)

C'est sur qu'en utilisant un OS qui représente que dalle dans les parts de marché globales tu risques rien.
Je vais meme te dire mieux : utilise BeOS et tu seras tranquille.

Arrete de te leurrer, Linux est au moins aussi troué que Windows, si ce n'est plus.
Seulement les petits malins qui cherchent les failles s'en tapent.
De plus y'a deux milles distribs différentes, ils vont pas se faire chier à trouver des failles pour chacun sachant que ça va cibler 0.000001% des utilisateurs dans le monde :)

> Arrete de te leurrer, Linux est au moins aussi troué que Windows, si ce n'est plus.

Je ne pense pas. Le fait que le code soit libre permet quand même une surveillance accrue et une meilleure sécurité.

> De plus y'a deux milles distribs différentes, ils vont pas se faire chier à trouver des failles pour chacun sachant que ça va cibler 0.000001% des utilisateurs dans le monde

Le noyau reste souvent similaire, voire identique dans certains cas. Donc une faille importante toucher plus que 0.000001% des utilisateurs, surtout si l'attaque est destinée à faire tomber des serveurs, où Linux a une bien plus grande part de marché.

hamsterfou a écrit:
C'est sur qu'en utilisant un OS qui représente que dalle dans les parts de marché globales tu risques rien.
Je vais meme te dire mieux : utilise BeOS et tu seras tranquille.

Arrete de te leurrer, Linux est au moins aussi troué que Windows, si ce n'est plus.
Seulement les petits malins qui cherchent les failles s'en tapent.
De plus y'a deux milles distribs différentes, ils vont pas se faire chier à trouver des failles pour chacun sachant que ça va cibler 0.000001% des utilisateurs dans le monde :)

Ben justement on trouve plus facilement des failles dans les logiciels libres vu que l'on a le code ... sous ton windows lorsqu'une faille est trouvée peut être qu'il y'a en a encore 10 100 voir 1000 non trouvé mais bien présente ou pas encore divulgué ;) ...

Non c'est sùr sa doit être en 3-5% des postes de travail et juste 25-30% des serveurs du monde mais c'est tout :) et que dire de apache avec ses 65% de part de marché face à IIS et c'est 20% complétement troué.

Ben justement on trouve plus facilement des failles dans les logiciels libres vu que l'on a le code ... sous ton windows lorsqu'une faille est trouvée peut être qu'il y'a en a encore 10 100 voir 1000 non trouvé mais bien présente ou pas encore divulgué

Pas sûr vu les nombreux leaks du code source de Windows 2000.

Le noyau reste souvent similaire, voire identique dans certains cas. Donc une faille importante toucher plus que 0.000001% des utilisateurs, surtout si l'attaque est destinée à faire tomber des serveurs, où Linux a une bien plus grande part de marché.

:non: Je suis tout à fait d'accord avec lui, si tu trouves une faille qui touches Apache (je dis ça au hasard hein :sarcastic: ), comme la mémoire ne sera pas allouée / gérée de la même façon sous OpenBSD, NetBSD, Linux 2.4.12, Linux 2.4.16, Linux 2.4.16-sauce-redhat etc... chaque (distribution Linux) / Unix nécessitera un code différent pour l'exploiter, ce qui réduit considérablement l'impact des failles sous ces systèmes. Et en plus de ça, ça dépend de la version d'Apache même si plusieurs sont vulnérable chaque version aura un exploit différent.

Je précise c'est pas la faille qui change mais le code à injecter. :neutre:

megadub a écrit:
Il suffit d'une faille :neutre:

oui c'est vrai mais sous linux la securite est concue sur plusieurs niveaux.
Les failles critiques qui donnent un acces total sans condition sur toutes les distribs sont tres tres tres rares.

KuraObi a écrit:
mais évidemment je tiens pas compte des distrib linux qui sont pas vraiment des OS exploitables à mes yeux (à part eventuellement mandrake et red hat). Par définition Linux est un produit non fini qui sera jamais fini puisqu'il ne cesse jamais de se développer. C'est juste un paradis pour développeur, le sentiment de pouvoir développer tout ce qu'il a toujours voulu développer, à l'infini...

Tous les logiciels sont des produits non finis, faut arreter de raconter n'importe quoi !
Le "probleme" (notez les guillemets) de la plupart des distribs linux est leur cycle de release court.
Un cycle de 6 mois ou moins est tres bien pour le desktop (des particuliers) car les nouveautes sont regulieres. Par contre, pour les serveurs ou des stations dans une boite, c'est trop court car les admins vont pas s'amuser a deployer constamment pour etre a jour. Et comme le passage d'une version n a une version n+1 est en general plutot bien gere, le passage d'une version n a une version n+2 ou n+3 est tres difficile (c'est kif kif sous windows faut pas rever)...

Tiens ca tombe bien y'a des distribs avec des cycles beaucoup plus long : Redhat (commercialle - 1an1/2) ou Debian (communautaire - 2 ans environ) ou Suse (commercialle) ou Mandrake (commercialle) ou ...
Car c'est bien la le probleme, ce que tu appeles "version finie" n'est en fait qu'une version stable dans le temps (dans le sens sans bouleversements) de maniere a laisser le temps aux admins de bien connaitre l'OS, de s'y habituer et de trouver des solutions stables pour contourner les problemes.
Ca fait 5 ans qu'on a du XP, moi je le considere pas du tout comme "fini". "Stable" oui, il l'est mais dans la definition donnee plus haut.

hamsterfou a écrit:
C'est sur qu'en utilisant un OS qui représente que dalle dans les parts de marché globales tu risques rien.
Arrete de te leurrer, Linux est au moins aussi troué que Windows, si ce n'est plus.
Seulement les petits malins qui cherchent les failles s'en tapent.
De plus y'a deux milles distribs différentes, ils vont pas se faire chier à trouver des failles pour chacun sachant que ça va cibler 0.000001% des utilisateurs dans le monde :)

Cet argument est idiot...
On disait ca de mozilla puis firefox, et maintenant Firefox a 15% de parts de marches et les failles n'ont pas explose pour autant. On en trouve toujours regulierement mais pas proportionnellement aux parts de marches, c'est evident.
Idem pour Apache... m'enfin c'est un exemple qui a deja ete sorti maintes fois.

De plus, et je me repete encore, vu le tapage que font les linuxiens, je suis surpris chaque jour de ne toujours pas voir un petit gars un peu enerve pondre un vrai virus bien mechant ou trouver une belle grosse failles bien grasse... juste pour rabaisser le caquet aux pinguoins qui se la racontent dans les forums
Et pourtant, que dalle... je pense que ca arrivera bien un jour mais quand ???
Sous windows, on se demande meme plus quand, on se demande si toutes les donnees sont bien sauvegardees.... :D

Pour une fois je suis d'accord avec pas mal de truc de KP2 mais je m'avancerai pas pour FireFox... on rediscutera de sa sécurité quand il sera à 15% (ce qui est faux d'ailleurs dans le monde) depuis 1 an ou 2...

Je me demande si quelqun s'es deja amuse a faire un graphe de tous les patchs de securite appliques a IE6 afin de voir quelle partie de ce pauvre programme n'est pas affecte. Et tant qu'a faire faire la meme chose sur mozilla, pour comparer.

Je n'en reste pas moin persuade que chez microsoft le developement des applications est anarchique car l'ajout de feature est alienee aux demandes ridicules des commerciaux (ca s'es vu dans le code source de win 2000), du coup, bah c le bordel et des failles aparaissent.

Moi je me demandes combien de personnes ont été touchées par une faille d'IE. (Je parle d'une vrai exploitation de faille, pas de dégats imputable à l'utilisateurs comme exécution d'un "crack" qui s'avère être une barre de recherche porno)

Franck a écrit:
> Arrete de te leurrer, Linux est au moins aussi troué que Windows, si ce n'est plus.

Je ne pense pas. Le fait que le code soit libre permet quand même une surveillance accrue et une meilleure sécurité.

Non non, Linux a bien connu plus de failles il me semble, par contre c'est corrigé en 2h quand M$ mais 2 mois à sortir un patch :?

KP2 a écrit:
On disait ca de mozilla puis firefox, et maintenant Firefox a 15% de parts de marches et les failles n'ont pas explose pour autant. On en trouve toujours regulierement mais pas proportionnellement aux parts de marches, c'est evident.
Idem pour Apache... m'enfin c'est un exemple qui a deja ete sorti maintes fois.

T'es au courant que ces derniers mois on a trouvé plus de failles sous firefox que sous ie ?
Je ne prétends pas que ie est plus sur que firefox, mais les failles de firefox sont en augmentation....
http://secunia.com/graph/?type=adv&period=all∏=4227
http://secunia.com/graph/?type=adv&period=all∏=11

De plus, et je me repete encore, vu le tapage que font les linuxiens, je suis surpris chaque jour de ne toujours pas voir un petit gars un peu enerve pondre un vrai virus bien mechant ou trouver une belle grosse failles bien grasse... juste pour rabaisser le caquet aux pinguoins qui se la racontent dans les forums
Et pourtant, que dalle... je pense que ca arrivera bien un jour mais quand ???

Tu parles de toi ? T'as un complexe d'infériorité ? Peut être que les gens sous win ont autre chose à faire que d'aller @@@@ les autres, chacun sa nature....

KP2 a écrit:
On disait ca de mozilla puis firefox, et maintenant Firefox a 15% de parts de marches et les failles n'ont pas explose pour autant.

Autant pour linux j'suis plus modéré (même si je suis sûr de moi) que sous Firefox le nombre de failles découvertes est bien plus important que sous IE :neutre:

mais encore une fois, c'est corrigé bien plus vite... et puis n'oublions pas que 90% des failles sont innofensives si le navigateur n'est pas trop permissif : désactivation des ActiveX sous IE par exemple ;)

Je rigole quand je vois des mecs qui se croient en sécurité derrière leur Firewall. Prenez note, que n'importe que logiciel est susceptible de contenir une faille de sécurité, soit par une lacune de développement ou une lacune de paramétrage coté utilisateur.

Maintenant si les mecs arrêtaient de s'exciter a trouver ces failles on aurait pas besoin de patch.

Vu l'ampleur du développement, qu'est Windows ou linux, il est normal qui tout les trous ne soit pas bouchés.

megadub a écrit:
Comme je le disais, Windows est aussi buggué que les autres OS ou autres logiciels complexes, le soucis chez M$ c'est la réactivité :/

Le soucis n'est pas QUE la réactivité, mais aussi une conception de l'OS non axée sécu.
Le fait de travailler par défaut en administrateur local est un problème, mais c'est souvent indispensable, car il est quasi impossible de bien gérer sa machine sans l'être.
le fait de ne pas pouvoir supprimer les fichiers en cours d'exécution est extrêmement problématique pour pouvoir se débarrasser d'un virus qui tourne, par exemple !
Un virus comme blaster, qui arrive sans se faire voir, s'installe tout seul, et commence à foutre la @!#$?* sur ta machine après 15 secondes de net, c'est impossible sur la plupart des distribs linux (à part des daubes genre Linspire, qui te foutent root par défaut).

Il n'y a globalement pas plus de failles sur Windows que d'autres systèmes (encore que c'est pas gagné, si on exclus l'ensemble des failles logicielles dans le cas de debian par exemple), mais leur impact est généralement plus important.

Le fait de travailler par défaut en administrateur local est un problème, mais c'est souvent indispensable, car il est quasi impossible de bien gérer sa machine sans l'être.

Sous quel système tu peux gérer ta machine sans être administrateur ?

linux peut etre ?
su - ?
sudo ?

ça revient au même (pour le problème qui nous intéresse) de se connecter en tant qu'administrateur ou de faire su, non ?

À partir du moment où tu fais un sudo, tu es administrateur :neutre:

Quand tu fais un su ou un sudo ton programme est pas exécuté en tant que root par définition (ou par défaut plus précisement) ?

Waip, ca revient au même à part que rien ne peut s'installer ou toucher au système sans faire appel au sudo, vu que tu n'es pas admin local avec ton compte principal.
Et donc rien ne peut s'installer sans que tu ais expressement tapé ton mot de passe.

C'est le même pincipe sur macosX par exemple.

Ca ne sert à rien d'être admin local de ton poste quand tu surfes sur le net par exemple, à part à se choper des merdes de spywares dans tous les sens...

Alors je sais, on peut sous Windows se mettre en simple user et faire un "Shift + click droit", puis "exécuter en tant que", mais soyons honnetes, c'est pas vraiment utilisable.

le principe de fonctionnement qui consiste à dire "je ne suis par defaut que simple user, et je n'exécute en root que ce qui nécessite ce type de droits et rien d'autres" est 100 fois plus sécurisé que travailler par défaut en admin comme le fait faire Windows, alors que ça n'est vraiment utile que pour le paramétrage système, l'installation de softs ou de driver, et c'est tout....

C'est pour ça qu'un blaster like sur OSX, c'est impossible....
Tu aurais au moins été solicité pour taper ton password lors de l'arrivée du virus pour qu'il s'incruste dans le système...

Il me semble que Vista devrait reproduire quelque chose dans ce style, d'ailleurs...