Microsoft dénonce une faille de sécurité dans Safari, Réactions à la news du 02-06-2008

[Lionel]

Dans une alerte de sécurité, Microsoft dénonce une faille de Safari sous XP et Vista pouvant conduire à une prise de contrôle distante du PC.
La faille de type zero day est déjà documentée avec des exemples à l'adresse suivante:
http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html
Pour résumer les choses, il est possible en formatant spécifiquement le code d'une page web de faire télécharger à Safari un fichier dans son dossier de téléchargement sans que l'utilisateur en soit prévenu. Il serait également possible de récupérer à distance des fichiers.
Notez que le fait de changer l'emplacement du dossier de téléchargement semble suffisant pour régler au moins temporairement le problème.

Cette nouvelle faille devrait faire plaisir à Microsoft pas forcément content de voir débarquer Apple dans son système, mais aussi à Mozilla pour qui ce problème tombe à pic, juste au lancement de Firefox 3.

[Cronos]

eh, "Microsoft": de quoi je me mêle
déjà que Safari ne fait pas l'unanimité...

Ce message a été modifié par Cronos - 2 Jun 2008, 05:56.

[switcheremac]

C'est l' hopital qui se fous de la charité...

Si cela n'est pas effectif sur Mac OS c'est une faille de Windows et non de Safari...

Ce message a été modifié par switcheremac - 2 Jun 2008, 06:28.

[pim123]

C'est bien plus que l'hôpital qui se fout de la charité, c'est l'entreprise de pompe funèbre qui crève les pneus de l'ambulance !

D'autant que lorsqu'une faille est découverte, le bon sens veut qu'elle ne soit révélée uniquement une fois qu'elle a été comblée. Alors que là on a l'impression que Microsoft se recycle dans la promotion de virus et autres joyeusetés... quoique, à y penser, c'est ce qu'ils font de mieux depuis des années !

[ABACA]

Ne vous affolez pas, Safari n'a qu'une paille, Microsoft a la poutre

Ce message a été modifié par ABACA - 2 Jun 2008, 10:51.

[eddyk]

Si je lis bien

http://www.macworld.com/article/133703/200.../ms_safari.html

la véritable faille (qui permet de prendre le contrôle de la machine à distance) est dans IE.

La faille dans Safari permet de transférer des fichiers sur le bureau et de là, IE permet la prise de contrôle.

Il semble que Microsoft devrait enlever cette poutre dans l'oeil!

[ParanoX]

Microsoft : - "Au loup! Au loup"
Le berger qui a fait des études : - "Et alors qu'est-ce qui t'arrive?"
Microsoft : "Y a un loup! Y a un loup!"
Le berger : "Ah ça?"
Microsoft : "Comment ça [ah ça?]?"
Le berger : "Bah, comment dire, j'ai sorti le vieux miroir de la bergerie, t'as du passer devant..."
Microsoft : "Au miroir! Au miroir!"


==========> []

Ce message a été modifié par ParanoX - 2 Jun 2008, 07:19.

[zyliae]

Hahaha ! Pas mal Paranox !

C'est exactement ça !

[Vinc26]

Avez vous lu l'article mis en lien dans la news ?

J'y ai appris des choses très intéressantes, bien plus intéressantes que des "Oh le gros méchant microsoft gnagnagnagna..........."

En particulier, le gars qui présente les 3 failles n'a, lui, aucune animosité envers Apple, et le remercie même d'être si ouvert à la discussion a propos de ces trois failles. Le service "sécurité" chez Apple répond au quart de tour, détaille ses réponses et ses choix.

Je trouve la réponse d'Apple très insctructive autour de l'une des 3 failles (celle à propos de téléchargement qui se dérouleraient automatiquement) : voici la réonse d'Apple : "...the ability to have a preference to "Ask me before downloading anything" is a good suggestion. We can file that as an enhancement request for the Safari team. Please note that we are not treating this as a security issue, but a further measure to raise the bar against unwanted downloads. This will require a review with the Human Interface team. We want to set your expectations that this could take quite a while, if it ever gets incorporated."
J'y apprends que pour simplement rajouter une case à cocher, en plus de l'équipe Safari qui serait mise en jeu, il y a aussi l'équipe "Human Interface" qui devra donner son point de vu !

Content de comprendre un peu mieux comment ça se passe chez Apple.

Ce message a été modifié par Vinc26 - 2 Jun 2008, 07:41.

[almux]

Avez vous lu l'article mis en lien dans la news ?

J'y ai appris des choses très intéressantes, bien plus intéressantes que des "Oh le gros méchant microsoft gnagnagnagna..........."

En particulier, le gars qui présente les 3 failles n'a, lui, aucune animosité envers Apple, et le remercie même d'être si ouvert à la discussion a propos de ces trois failles. Le service "sécurité" chez Apple répond au quart de tour, détaille ses réponses et ses choix.

Je trouve la réponse d'Apple très insctructive autour de l'une des 3 failles (celle à propos de téléchargement qui se dérouleraient automatiquement) : voici la réonse d'Apple : "...the ability to have a preference to "Ask me before downloading anything" is a good suggestion. We can file that as an enhancement request for the Safari team. Please note that we are not treating this as a security issue, but a further measure to raise the bar against unwanted downloads. This will require a review with the Human Interface team. We want to set your expectations that this could take quite a while, if it ever gets incorporated."
J'y apprends que pour simplement rajouter une case à cocher, en plus de l'équipe Safari qui serait mise en jeu, il y a aussi l'équipe "Human Interface" qui devra donner son point de vu !

Content de comprendre un peu mieux comment ça se passe chez Apple.

Il ne faut pas trop critiquer M$. Il paraît que, depuis déjà deux à trois semaines, Crosoft a mis sur pied une commission pour étudier comment l'entreprise pourrait intégrer une équipe de recherche nommée HFI (Human Friendly Interface). Les résultats de ces recherches devraient aboutir d'ici 2013 et être introduits dans le nouveau Windows 14 avant 2040!
En plus, M$ en profite pour annoncer qu'à cette occasion Internet Explorer sera sécurisé...

[Vinc26]

Quand je dis que j'en ai marre d'entendre encore et encore des blabla contre microsoft, c'est surtout parce que ça n'apporte rien au débat. Surtout sur Macbidouile, c'est tout simplement acquis que Microsoft agit n'importe comment.

Je trouve ça bien plus intéressant d'en apprendre plus sur les méthode d'Apple. Voilà.

[Lumbermatt]

Mouais mouais... faut le lire le bulletin TechNet après on voit les choses différemment.

Microsoft is investigating new public reports

Ils enquêtent ... mais n'ont toujours pas fini (en passant il feraient mieux de payer des gens pour "enquêter" sur leurs propres produits)

Safari is not installed with Windows XP or Windows Vista by default; it must be installed independently or through the Apple Software Update application.

Hop on se dédouane... n'oubliez pas ! tout est de la faute de Cupertino, nos produits sont exempts de tout défaut.

At the present time, Microsoft is unaware of any attacks attempting to exploit this blended threat.

Ah ben ils ont pas "enquêté" beaucoup, sachant qu'il y a d'autres sites qui expliquent le truc correctement (Lionel en donne un dans la news)

Upon completion of this investigation, Microsoft will take the appropriate measures to protect our customers.

Comprenez bien, quand on aura fini "d'enquêter" on prendra des mesures (c'est à dire rien... comme pour les failles à la pelle de IE)

This may include providing a solution through a service pack, the monthly update process, or an out-of-cycle security update, depending on customers needs.

Comme c'est noble de leur part, ils proposent même de faire un service pack ou un de leur célèbres Hotfix® à la place d'Apple. A se demander si finalement ce problème n'aurait pas à voir avec l'OS sur lequel Safari tourne...

[Twisell]

Avez vous lu l'article mis en lien dans la news
(...)
J'y apprends que pour simplement rajouter une case à cocher, en plus de l'équipe Safari qui serait mise en jeu, il y a aussi l'équipe "Human Interface" qui devra donner son point de vu !

Content de comprendre un peu mieux comment ça se passe chez Apple.

C'est clair, c'est toute une philosophie, ils savent que la case à cocher (certainement associée à des dialogues d'erreur) va venir compliquer l'interface utilisateur de Safari.
Du coup ils se demandent d'abord si cette fonction est utile est si elle doit vraiment être accessible à l'utilisateur.

Il ne faut pas trop critiquer M$. Il paraît que, depuis déjà deux à trois semaines, Crosoft a mis sur pied une commission pour étudier comment l'entreprise pourrait intégrer une équipe de recherche nommée HFI (Human Friendly Interface). Les résultats de ces recherches devraient aboutir d'ici 2013 et être introduits dans le nouveau Windows 14 avant 2040!
En plus, M$ en profite pour annoncer qu'à cette occasion Internet Explorer sera sécurisé...

[Ayumi Yonosa]

Cette nouvelle faille devrait faire plaisir à Microsoft pas forcément content de voir débarquer Apple dans son système, mais aussi à Mozilla pour qui ce problème tombe à pic, juste au lancement de Firefox 3.

Ah, toujours la petite phrase gratuite qui apaise les esprits et contribue à bien faire avancer le débat...

Bonne matinée les gens gentils,

Ayumi

[Rikle_S]

Cette nouvelle faille devrait faire plaisir à Microsoft pas forcément content de voir débarquer Apple dans son système, mais aussi à Mozilla pour qui ce problème tombe à pic, juste au lancement de Firefox 3.

Ah, toujours la petite phrase gratuite qui apaise les esprits et contribue à bien faire avancer le débat...

Bonne matinée les gens gentils,

Ayumi

En attendant c'est vrai...

[haiku]

EH les gars, bien sur que microsoft est très méchant mais enfin , quel que soit le bout par lequel on le prenne la possibilité de charger des fichiers en local "en douce" est une TRES GROSSE FAUTE.

Et il n'y a pas besoin de faire intervenir la "Special Task Force Human Interface " qui va se réunir puis la
"Validate Organisation Intelligency" qui va réflechir à l'opportunité d'une validation..... LOL
Faut pas éxagerer.

Il y a clairement des points litigieux dans le domaine de la programmation mais la
Dire que c'est pas grave.

D'autant plus que le téléchargement de fichier peut-être fait autant de fois que demandé par la page....
Donc on peut nuire en remplissant simplement le disque. (aurais t'on trouvé la cause des fichiers temps énorme sous Macosx ?)

Encore plus grave :
Il faut aussi remarquer que dans la page en lien le troisième problème trouvé est encore plus grave, au point qu'il est judicieux de ne pas en parler.

Sans faire un fromage de tout ca, on ne peut aveuglement défendre Apple sur le coup. A moins d'être resté dans une binarité Apple = good; Micrososft = bad. En tout cas moi je n'y suis pas.

[sokaku]

En fait, sur Safari, c'est juste un bug sans grande conséquence.

Mais manque de bol, il y a une faille liée à Internet explorer 6 et 7 qui permet d'exécuter un code malveillant!!

Lionel, peux être une correction de la news??

Ce message a été modifié par sokaku - 2 Jun 2008, 08:53.

[Touch78]

Bah... c'est de bonne guerre.

Pas très crédible venant de microsoft mais de bonne guerre.

[Cappuccino]

De toute façon, qui utilise Safari sous Windows ??? C'est vraiment pas terrible...

[Baradal]

De toute façon, qui utilise Safari sous Windows ??? C'est vraiment pas terrible...

Moi et il est excellent

[haiku]

En fait, sur Safari, c'est juste un bug sans grande conséquence.
Mais manque de bol, il y a une faille liée à Internet explorer 6 et 7 qui permet d'exécuter un code malveillant!!
Lionel, peux être une correction de la news??

De quoi parles-tu ?
LE point 1 de la page citée en exemple montre que Safari (et tout seul comme un grand) arrive à polluer l'ordinateur client en visitant la page http://malicious.example.com/
D'ailleurs dans son cas c'est son bureau qui est tout barbouillé de dizaines et dizaines de fichiers, lol.

Quid d'IE dans tout ca ? As-tu confondu café du matin et produits hallucinatoires ?
Le news de Lionel me semble au contraire tout a fait correcte .

De toute façon, qui utilise Safari sous Windows ??? C'est vraiment pas terrible...

oui c'est pour cela que tout cela est à relativiser.
une faille critique sur un logiciel quasi non-existent sur le marché windows....
pas de quoi foueter un chat.

Ce message a été modifié par haiku - 2 Jun 2008, 09:33.

[alexiase]

ouf je viens justement de virer Safari sur XP

grand coup de bol

Sous Mac Os X vu la compatibilité de ce truc appelé Safari je préfère utiliser Firefox qui est plus lent et tout ce que vous voulez mais compatible.

Mnt place au Troll:

vous en avez pas marre de critiquer Microsoft?
N'oublions pas que Léopard même pas aboutis pour ça sortie fin 2007, nous a gratifié de 2 mise à jour les plus grosses du règne informatique de la 10.5 à la 10.5.3 on atteind le Go de mise à jour!! Est ce bien la preuve la compétence d'Apple dans le domaine? Pour rappel même Microsoft n'a pas réussi ça en moins 1an avec Vista

Venez les macistes je vous attend

[jeriqo]

Pour résumer les choses, il est possible en formatant spécifiquement le code d'une page web de faire télécharger à Safari un fichier dans son dossier de téléchargement sans que l'utilisateur en soit prévenu.

Je ne vois pas en quoi il s'agit là d'une faille, ni de quelque chose de nouveau.
La plupart des pages de téléchargement de logiciels le déclenchent automatiquement. (simple redirection vers un fichier).

En quoi est-ce différent ?

[sokaku]

Je répète que la faille de sécurité touche en fait Windows, présente depuis maintenant un an!! Donc quand Microsoft conseille de ne pas utiliser Safari, c'est une grand moment de rigolade. Ils feraient mieux de corriger leur affaire!!

Dans Safari, c'est juste un petit bug sans grande consistance!

N'oublions pas que Léopard même pas aboutis pour ça sortie fin 2007, nous a gratifié de 2 mise à jour les plus grosses du règne informatique de la 10.5 à la 10.5.3 on atteind le Go de mise à jour!! Est ce bien la preuve la compétence d'Apple dans le domaine? Pour rappel même Microsoft n'a pas réussi ça en moins 1an avec Vista

Venez les macistes je vous attend

Oui et Microsoft n'a toujours pas corrigé les gros pbs de fonctionnement de Vista. Pour le reste, on va te laisser dans ton ignorance et te laisser attendre!!

[haiku]

Pour résumer les choses, il est possible en formatant spécifiquement le code d'une page web de faire télécharger à Safari un fichier dans son dossier de téléchargement sans que l'utilisateur en soit prévenu.

En quoi est-ce différent ?

l'avertissement, le nom du fichier, le choix de le telecharger ou de l'ouvrir,les possibilités de choix d'emplacement ou il va être copié...

ces débutants

[Baradal]

Mnt place au Troll:

vous en avez pas marre de critiquer Microsoft?
N'oublions pas que Léopard même pas aboutis pour ça sortie fin 2007, nous a gratifié de 2 mise à jour les plus grosses du règne informatique de la 10.5 à la 10.5.3 on atteind le Go de mise à jour!!

Et alors ? Où est le problème ?

[marc_os]

Ne vous affolez pas, Safari n'a qu'un paille, Microsoft a la poutre

Savez-vous que si vous surfez sous Windows en utilisant Internet Explorer (ou tout navigateur pouvant exploiter les composants Active X), n'importe quel site que vous visitez peut obtenir votre nom de login ? (variable %USERNAME% sous XP - et probablement les autres).

J'utilise cette "fonction" dans l'Intranet du client chez qui je travaille pour n'autoriser le login à l'Intranet sur une machine donnée qu'à la personne loguée à cette instant sur cette machine...

Donc n'importe quel site peut obtenir ainsi votre login Windows.
Il ne manque plus que votre mot de passe...

[alexiase]

sokaku ignorance pas si sur
pas sur nonplus de ne pas cottoyer Osx depuis plus longtemps. J'ai commencé au G4 466Mhz ça date pas mal. Un peu rapide le motif de l'ignorance

le problème Baradal? simple

accusation a charge avec un manque d'ojectivité clair des Mac intégristes (qui je dois l'avouer sont croustillants) envers tout ce qui n'est pas Apple ce qui dénote une étroitesse de points de vue voire d'esprit.

Pour être plus sérieux, les procès sont à charge et décharge.
Les partis prix quelqu'ils soient sont pas souhaitable.
On pardonne trop vite à Apple et jamais à Microsoft.

Pour être juste la plupart d'entre nous ont commencé sur Microsoft qui est bourré de défauts et de problèmes. Mais y en a pas mal a dire aussi sur Osx qui ne frise même pas la perfection (je sais perfection = inateignable) et si l'on me dit Osx dépasse de loin Microsoft, admettons mais en même temps dans certains domaine Osx est largué et même pénible. Le système idéal serai de prendre le meilleurs des 3 Os et peut être ....

Savez-vous que si vous surfez sous Windows en utilisant Internet Explorer (ou tout navigateur pouvant exploiter les composants Active X), n'importe quel site que vous visitez peut obtenir votre nom de login ? (variable %USERNAME% sous XP - et probablement les autres).

J'utilise cette "fonction" dans l'Intranet du client chez qui je travaille pour n'autoriser le login à l'Intranet sur une machine donnée qu'à la personne loguée à cette instant sur cette machine...

Donc n'importe quel site peut obtenir ainsi votre login Windows.
Il ne manque plus que votre mot de passe...

Et alors??
le log est dispo la belle affaire.
Ca craind si tu accèdes au couple Log mot de passe ou que ton mot de passe soit vraiment naze.
Sinon y a aucun problème de sécurité, de trouver le log de session. D'ailleurs dans d'autres systèmes ils sont connus de tous exemple: root (c'est pire parce que c'est un log admin)


Ce message a été modifié par alexiase - 2 Jun 2008, 09:52.

[marc_os]

En fait, ce qui me choque le plus dans l'histoire, c'est la réponse d'Apple selon Macworld :

Apple may not be rushing out to patch this bug, however. Dhanjani says that Apple has told him that it is not treating the Safari bug as a security issue, a response that has generated criticism from the security community.

Mais l'article cité par Lionel est intéressant car il explique la démarche de la personne ayant découvert la faille, et il décrit sa communication avec Apple.

Espérons maintenant qu'Apple va corriger rapidement ce bogue (même s'il ne devient critique qu'associé avec un bogue IE), car ça fait vraiment tâche là.

[gibs]

Ah ? ça voudrait dire que Vista n'est pas si fiable que ça alors...

Je comprends que XP soit vulnérable à ce type de faille tant il est installé par défaut avec le compte de l'utilisateur principal "administrateur du systeme"...mais justement microsoft dit que pour éviter ce genre de soucis il faut passer a vista...http://www.microsoft.com/protect/computer/advanced/useraccount.mspx

Comme quoi ils racontent un peu ce qui les arrange...et l'utilisateur lambda gobera!