« Petit resto DNG (MAJ2) ?Quelques news DNG »

Important trou de sécurité dans IE 6 et XP SP2

A force de me dire, je l'installe, je l'installe pas, j'ai fini par céder aux sirènes du tristement célèbre Service Pack 2 de Windows XP. Et pour cause, l'installation de Visual Studio 2005 beta édition Décembre impose la présence de ce Service Pack tant redouté. Tout cela n'aurait aucune importance si ce n'était qu'une faille de sécurité importante, que dis-je "gravissime", vient d'être dévoilée par Julien McArdle sur son blog. Pour tester la vulnérabilité de votre IE, il suffit de clicker sur le lien hypertexte "Test Now", et là stupeur, ce lien HREF (JavaScript) ouvre sur ma machine une fenêtre DOS en local et créer un répertoire dans mon C:\WINDOWS histoire de prouver qu'il est capable d'exécuter n'importe quelle commande (par exemple DEL *.dll). Même si Norton prévient que la page contient le virus Bloodhound.Exploit.21, l'action sur le lien n'est pas inhibé.

Le pire c'est que ce trou de sécurité ne semble pas affecter les heureux non-détenteurs du SP2. Heureusement que la vocation principale de ce service pack était de sécuriser les machines, on pourrait presque en douter...

Moralité, ne vous précipitez pas sur le SP2 et en attendant le correctif, surfez avec Firefox ...

PS : Une parade (qui marche chez moi) semble être de renommer temporairement dans la base de registre les références au contrôle OCX "hhctrl.ocx" en "hhctrl.ocx.old". Excepté bien entendu celle qui consiste à refuser systématiquement le téléchargement de tout contrôle ActiveX (rendant impossible la lecture de pas mal de sites).

Cette entrée a été postée le Janvier 11th, 2005 à 00:23:48 parsami et a été rangé sous .NET.

8 commentaires

Commentaire de: Batmat [Visiteur] · http://www.batmat.net
Décidément... IE ne cessera jamais de nous surprendre. En attendant, effectivement, utilisez firefox.
11.01.05 @ 03:00
Commentaire de: Bertrand Le Roy [Visiteur] · http://weblogs.asp.net/bleroy
Chez moi, le téléchargement du contrôle ActiveX est bloqué par Microsoft AntiSpyware.
Ceci dit, refuser le SP2 en disant qu'il crée de nouveaux trous, c'est oublier qu'il en bouche surtout... Tu fais ce que tu veux.
11.01.05 @ 03:15
Commentaire de: amethyste [Membre] Email
au fond MS a t'il prévu de corriger ce bug dans les procahins jours.
Pour ma part c'est celà qui compte le plus.

Améthyste
11.01.05 @ 10:00
Commentaire de: Nicolas F. [Visiteur]
Ca me fait bien rigoler cette mode autour de Firefox ... surtout le sujet de la sécurité. Il y a forcément des bugs dans Firefox et lorsque que suffisament de personnes l'utiliseront, des virus verront le jour pour lui aussi. Ceci dit, ça n'empeche pas qu'il puisse être un bon browser.
11.01.05 @ 16:29
Commentaire de: amethyste [Membre] Email
L'intérêt que je vois avec FireFox est peut-être de pousser MS à réinvestir dans IE.

C'est pas un secret pas plus que c'est démago de dire que le code de IE a pas d'années derrière lui et qu'il a besoin d'un lifting sérieux (poubelle/replay).

Firefox est un développement plus récent et bénéficie de l'expérience acquise avec Netscape et IE. Rien que pour celà il est a peu près certain qu'il est meilleur.

Plus stable, moins de bugs... C'est une autre histoire. Prétendre que le produit X a moins de bugs que Y le jour même de sa sortie ça fait en effet bien rigoler. Surtout qu'il y a fort à parier que les bugs de Firefox feront l'objet de plus de pudeur que ceux de IE qui font la une du 20 heures.

Firefox ne me fait pas rigoler car c'est de la concurrence saine, il y en avait vraiment besoin.
Le MS bashing m'agace certes profondément, mais faut pas tomber dans l'excès inverse non plus.

OK, il est encore trop tôt pour dire comment se positionne Firefox en terme de sécurité. Mais je regrette, IE a quand même un problème de fond, faut pas s'aveugler la dessus.
Dire que Firefox a aussi forcément ses bugs ezt exact, mais n'est en rien une excuse.

Amethyste
11.01.05 @ 20:23
Commentaire de: amethyste [Membre] Email
tiens Sami, voici la "vraie" histoire autour de Windows Xp SP2:

http://www.winsupersite.com/showcase/windowsxp_sp2_inside.asp

Améthyste
12.01.05 @ 01:05
Commentaire de: Nicolas F. [Visiteur]
En réponse à Amethyste :

Je pense que IE est victime de sa trop grande intégration à Windows et qu'il n'y aura pas d'évo de IE avant Longhorn à cause de ça.

Maintenant un peu de concurrence est tjrs une bonne chose mais je serais tenté de dire que c'est surtout dans la catégorie "browser alternatif" que ça fait du bien (Mozilla est qd même pas terrible terrible).

Enfin trève de sarcasme, mon commentaire initial ne remet pas en cause les qualités de Firefox mais simplement l'effet de "hype" qu'il y a autour. Et les "on dit" qui vont avec.
12.01.05 @ 10:19
Commentaire de: Batmat [Visiteur] · http://www.batmat.net

Nicolas> Des bugs dans firefox, certes il y en a eu, il y en a certainement encore, et il y en aura d'autres. Comme dans toute application, évidemment. Seulement, je crois franchement à plus de réactivité du côté de l'équipe de firefox. Et surtout plus de transparence. S'il y a un bug, ils n'essaieront pas (et ils l'ont déjà prouvé) de trouver des excuses. Ils le corrigeront, c'est tout.



Jusqu'à maintenant, tous les bugs critiques détectés dans firefox ont chaque fois été corrigés extrêmement rapidement.



Pour finir, nous sommes d'accord sur le fait qu'IE a plusieurs années de retard et qu'il était temps que quelqu'un les concurrence un peu. Et vu la progression de firefox, on voit que c'est franchement en train d'arriver (exemple)

21.01.05 @ 11:00

Laisser un commentaire


Votre adresse email ne sera pas révélée sur ce site.

Votre URL sera affichée.
(Les retours à la ligne deviennent des <br />)
(Nom, e-mail & site Web)
(Autoriser les utilisateurs à vous contacter par un formulaire de message (votre adresse email ne sera not révélée.))
This is a captcha-picture. It is used to prevent mass-access by robots.
Please enter the characters from the image above. (case insensitive)