Un « & » mal placé à l'origine d'une faille critique dans Internet Explorer

IE 5 !!! Release en mars 1999 !!! Ca fait donc 10 ans que cette faille, que dis-je, faute de développement existe et que personne n'a rien vu.

Le code doit être audité plus qu'avec médiocrité...

KanMeme, toi tu as l'air super calé en programmation dis-moi.
Trolleur a deux sous. C'est toi la faute de développement.
"Le code doit être audité avec médiocrité", oui bien sûr, les auditeurs également sont mauvais, ils n'ont pas vu la différence de couleur du "&" dans les 10 ou 20000 (au pif) lignes de codes composant IE.

Au passage, ceux qui ont le plus lus les lignes de code d'IE sont les pirates de part le monde, c'est donc eux les plus mauvais de tous.

Pour pouvoir lire le code il faut desassembler le programme. Chose qui est illegal il suffit de lire la CLUF. Je pense que personne se tournera vers µ$oft se jeter dans la gueule du loup et leur dire : écouter j'ai désassembler internet explorer et j'ai trouver une faille.... et on est pas à l'abris de nouvelle faille à mon avis. Quand les gens auront compris que les logiciels libres sont plus sûr niveaux sécurité. et oui, les correcteurs sont plus réactifs car le code est ouvert :)

Salutations

Le CLUF ne peut aller à l'encontre de ce qu'autorise la loi.
Je ne sais pas ce qu'il en est actuellement en France, mais il y a encore quelques années le désassemblage était autorisé pour des questions de maintenance ou pour l'enseignement entre autres.

Ce qui m'étonne encore plus c'est que l'on prenne le temps de corriger encore IE en version 5. Firefox n'est lui maintenu qu'en version 3.x.

Oui au bout de 10 ans du même code et aprés plusieurs versions, une faille critique qui reste c'est tres grave.

Les pirates n'ont pas vu le code d'IE....

L'argument de "tordeur" selon lequel le libre c'est mieux car on trouve les failles plus rapidement est complètement idiot, car ce qui compte ce n'est pas le délai de découverte de la faille mais le temps de réaction du développeur...

Par exemple la faille existe ici depuis 10 ans, mais quelle importance dans la mesure où personne ne la connaissait jusqu'à aujourd'hui? Et depuis qu'on la connait elle a été corrigée avec une rapidité impressionante par Microsoft, donc aucun risque pour celui qui a activé les mises à jour automatiques...

A côté de ça Linux a de nombreuses failles critiques lui aussi mais comme il n'y a pas de système de mises à jour automatiques c'est beaucoup plus dangereux pour l'utilisateur lambda qui ne tient pas sa machine à jour. Et pour info je suis sur que les 3/4 des gens qui parlent de Linux ici n'ont jamais effectué une mise à jour du kernel de leur vie, et je peux vous dire pour l'avoir déjà fait que ce n'est pas l'utilisateur lambda qui effectura ce genre de manipulation... Or parfois la faille critique se trouve justement dans le kernel, le point névralgique de l'OS, par exemple il n'y a pas si longtemps que ça on avait découvert une faille qui permettait à n'importe quel utilisateur d'obtenir les droits de root sur la machine en 5 sec... Je vous laisse imaginer le temps que ça met pour que tout le monde mette son kernel à jour, et je peux vous dire que les serveurs dédiés sous Linux sont tombés comme des mouches à cette époque, alors qu'en comparaison la faille d'IE n'aura pas durée plus de 2 jours pour celui qui a activé les MAJ automatiques, moins de temps qu'il n'en faut à un hacker pour exploiter la dîtes faille...

Bref l'argument de l'opensource comme source de sécurité est nul car c'est à double tranchant: d'un côté la communauté découvre les failles plus vite, de l'autre les hackers trouvent eux aussi plus facilement les failles et peuvent donc les exploiter plus facilement...

Toutes les distributions de linux ont un système de mise à jour y compris du noyau... Si on parle de serveur, cherchons le nombre de serveurs windows pas à jour ou sans antivirus parcequ'il faut repayer l'updgrade...

Si vraiment tu t'y étais connu un peu en programmation, tu aurais su que la différence de couleur du "&" n'est visible que sur un EDI (environnement de développement intégré) supportant la mise en couleur des différents types d'élément du code source du programme. Et comme seul microsoft dispose de ce code source contrairement à ce qui se passe dans le monde du libre. Et bien, il est très dur pour des programmeurs tiers de la corriger. Par contre, en analysant le fonctionnement du programme, on peut détecter la faille et là pas besoin du source. Les pirates eux savent cela et en profitent. Ils savent très bien quoi faire ensuite pour faire dérailler le programme et faire exécuter leur code malveillant.

Donc Microsoft n'a aucune excuse. Ils ne font aucun audit de leur code et on en voit le résultat. Ou alors si ils font des audits, ces derniers sont faits par dessus la jambe.

Par contre dans le monde du libre, des milliers de programmeurs analysent le code source des applications puisque ce dernier est disponible et ils peuvent donc détecter les failles de ces programmes. Ce qui permet de les corriger assez vite. Mais rien n'est parfait et il peut toujours y avoir un truc qui passe à travers les mailles du filet. Mais cela a moins de chances d'arriver que avec des programmes propriétaires tels que ceux de gro$oft.

Sinon, rappelons que le désassemblage d'une application ne permettra jamais la même souplesse que le fait de posséder le code source de ce programme. Car au moment de la compilation, pas mal d'informations comme les commentaires du programmeur du logiciel passent à la trappe. Et si ces derniers concernent une astuce employée par le programmeur pour écrire son code, alors il sera difficile pour celui qui passe derrière de saisir toutes les subtilités du code étudié.

Donc avant de te pointer tu aurais mieux fait de faire un tour sur le net pour te renseigner et d'essayer de comprendre un programme après l'avoir désassemblé.

"Par exemple la faille existe ici depuis 10 ans, mais quelle importance dans la mesure où personne ne la connaissait jusqu'à aujourd'hui? Et depuis qu'on la connait elle a été corrigée avec une rapidité impressionante par Microsoft, donc aucun risque pour celui qui a activé les mises à jour automatiques..."

Alors là, tu es vraiment crédule mon vieux. Les pirates connaissaient certainement l'existence de la faille depuis un moment. Après, pour ce qui est de savoir si ils l'utilisaient, il faudra leur demander. Il faudrait peut-être que tu arrêtes de gober les mensonges de Microsoft. Si ils ont corrigé la faille, c'est qu'ils ne pouvaient plus cacher son existence et que à cause de la correction d'une autre faille qui devait elle aussi trainer depuis des lustres, ils craignaient que l'utilisation de la faille dont parle l'article ne se généralise.

Donc tu nous fais bien rire avec ton temps de réaction du développeur. Du moins quand tu nous dit que chez Microsoft ce temps est court. Et quand à parler des mises à jour automatiques, j'aimerais bien savoir le nombre de personnes qui désactivent cette option lorsqu'ils voient le temps et les ressources système que cela leur bouffe. C'est un mal nécessaire, mais que l'utilisateur lambda ne veut pas avoir à subir. Donc il y a un certain nombre de windows qui ne sont pas à jour. Et tout cela parce que Microsoft sort ses correctifs en bloc au lieu de corriger au fur et à mesure. Quand tu compares avec Linux, tu vois que les mises à jour ne concernent que quelques programmes, mais que ces dernières sortent régulièrement et cela sans gêner le travail de l'utilisateur. D'ailleurs, il suffit de comparer la mise à jour d'un windows et d'une distribution Linux après formatage du disque dur pour voir que dans le cas de windows, c'est beaucoup plus contraignant et dans le cas où il y a des SP, cela devient carrément une galère. Au final Linux est déjà mis à jour alors que windows n'a pas encore fini.

prometheus je te trouve bien agressif.

Bref "Seul microsoft dispose du code source", oui et bien t'a pas vu ce que j'ai dans un de mes dossiers lol (c'est pas IE8 j'avoue).

Je terminerais définitevement par cette réponse à ça "Donc Microsoft n'a aucune excuse. Ils ne font aucun audit de leur code et on en voit le résultat. Ou alors si ils font des audits, ces derniers sont faits par dessus la jambe."

Je te renvoie à ça -> certification EAL4+, c'est la certification sécurité OS windows (idem pour linux au passage). Quand on a une certification, on est audité plusieurs fois par ans. Les auditeurs ne font pas partis de la société et n'ont aucune raison de faire le travail à moitié.

Seul un OS à une certication plus élevé, EAL6+, Integrity-178B.

Nous parlons bien sûr de certification americaine.

++

Si quelqu'un d'autre que Microsoft possède le code source de IE, c'est soi qu'il s'agit de données volées, soit qu'elles ont été rendues publiques par Microsoft. Comme la deuxième solution est plus que rare. Tu dois certainement nous parler de code subtilisé par un moyen ou par un autre.

Un programmateur open source honnête (il peut toujours y avoir des brebis galeuses) n'ira pas voir des sources volées. Donc il ne pourra pas détecter le problème.

Bon, revenons à ton dossier mystère, tu nous dis que tu as quelque chose sans même dire ce que c'est. Donc tu pourrais raconter cela juste pour rendre tes dires plus crédibles, cela ne ferait aucune différence. Mais vu ton imprécision, cela laisse à penser que si c'est bien du code source IE, ce dernier a été obtenu illégalement et que rien ne prouve que les programmeurs open source auraient pu y avoir accès. Car les pirates qui utilisent les failles détectées dans les logiciels Microsoft ne distribuent pas leurs informations à n'importe qui, car c'est pour eux une source de revenus.

Voyons maintenant ton histoire de certification. Elle existe, c'est déjà une chose. Seulement, c'est une certification américaine et non internationale.

Quand je vois le nombre de diplômes de docteur qui sont décernés à des charlatans aux USA et le fait que les certifications américaines sont souvent beaucoup plus laxistes que les certifications internationales ou même françaises, tu me fais bien rigoler là.

De plus, vu comment sont passés les audits dans l'industrie pour avoir certaines certifications, je peux te dire que ces dernières sont du vent. Et cela qu'elles soient nationales ou internationales. En plus, dans beaucoup de domaines, les certifications ne vérifient que la mise en place de mesures de contrôle. Mais on ne vérifie pas si ces contrôles sont effectivement effectués. Donc windows pourrait être EAL1 ou EAL6+, cela serait la même chose et les faits sont là pour prouver que les certifications sont juste là pour rassurer les clients des boites qui les décrochent. Une certification, c'est juste du commercial et rien d'autre.

M d R !!
ça doit beaucoup gêner le fait que ce soit illégal !!
De plus, il est vrai que les pirates ont mis 10 ans pour trouver cette faille. Comme quoi elle n'était pas si facile à trouver, ET, il mettent pourtant tout leur cœur à les trouver.
Au moins, cette fois, M$ a réagit rapidement, je signale que je ne suis "pas du tout" pro M£. mais alors pas du tout !

Je ne comprends pas le problème pour la MAJ du kernel. Avec Ubuntu tu as juste à faire la MAJ via Synaptics ou simplement cliquer sur le popup de MAJ automatique (et si, IL Y A des MAJ automatiques).

Bon par contre j'avoue que c'est plus ch*ant si tu as une distro genre ArchLinux ou Gentoo mais ça m'étonnerait que ce soit le genre de distro qu'utilise "l'utilisateur lambda" :)

n'aura pas durée plus de 2 jours pour celui qui a activé les MAJ automatiques, moins de temps qu'il n'en faut à un hacker pour exploiter la dîtes faille...

Juste en passant, celui qui est tombé sur la faille n'avait plus d'écran et payé son abo + tel au temps d'internet en RTC : donc cette personne l'a signalé x fois à M$ en son temps dès qu'il a pu : d'où le rapport d'erreur dans 98.

Ensuite concevoir un navigateur sur un réseau international pouvant accéder aux ActiveX, excusez du peu, mais c'est d'une co***rie monumentale. Sachant qu'un VBscript peut passer par les ActiveX, dépouiller l'AD, je laisse imaginer l'ampleur de l'espionnage industriel chez les "tout M$" . . . donc de certains réseaux secret défense ultra-sensible à travers le monde.

On est jamais à l'abris du caractère qui tue tout ;)

Je sens venir les commentaires du genre "IE c'est de la merde", "IE est une passoire", "Prenez Firefox", "Prenez Opéra", "Prenez Safari" et "Prenez ???".

Pourquoi dirait-on ça ? tout le monde le sais, ce n'est pas la peine d'en rajouter.

Les pauvres, ils sont au fond du gouffre et ils creusent, laissons les tranquille.

Un erreur dans un programme de la CNAV (je crois) est à l'origine de 300 millions d'euros d'indemnités de retraite versées à d'anciens chômeurs par erreur. Il aura fallu le changement d'une application (25 après) pour le découvrir.
La cause est différente mais démontre qu'il n'est pas facile de "prouver" le bon fonctionnement d'un programme...