La Fibre
Télécom => Logiciels et systèmes d'exploitation => 
Logiciels => Discussion démarrée par: vivien le 27 janvier 2015 à 08:02:17
-
Expliquer l'utilité des mises à jour de sécurité à son entourage
Si on vous demande, dans votre entourage, a quoi servent les mise à jour qu'il faut faire en permanence, voici un article du Monde informatique qui montre l’intérêt d'être toujours à jour :
Adobe corrige une 2ème faille zero-day dans Flash
En quelques jours, Adobe corrige une 2ème faille zero-day sur son lecteur Flash. Les navigateurs web mis à jour automatiquement ont commencé à installer sa mise à jour ce week-end. L'éditeur a confirmé que la faille référencée CVE-2015-0311 a déjà été exploitée par des attaquants.
Adobe a commencé à diffuser un correctif critique pour Flash Player vers les utilisateurs qui ont activé la mise à jour automatique du logiciel. Ce patch corrige une faille qui est exploitée depuis une semaine par des attaquants. Le kit Angler utilisé par les cybercriminels comporte effectivement un outil pour le faire et lancer des attaques de type « drive-by-download ». Celles-ci se font principalement par téléchargement de publicités malveillantes apparaissant sur des sites web légitimes. Suivie sous la référence CVE-2015-0311, la faille touche des utilisateurs recourant à Flash Player dans les navigateurs web Mozilla et Internet Explorer (toutes versions). Le plug-in associé à Chrome comporte aussi cette vulnérabilité, mais le mécanisme de sécurité sandbox du navigateur de Google empêche son exploitation.
Dans un bulletin d'alerte publié le 22 janvier, Adobe explique que la faille en question se trouve dans la version 16.0.0.287 de Flash Player et dans les précédentes versions pour Windows et Macintosh. Elle permet potentiellement à un attaquant de prendre le contrôle du système affecté. L'éditeur confirme que des attaquants l'exploitent dans des attaques « drive-by-download ». Depuis samedi dernier, 24 janvier, il a commencé à pousser sa mise à jour 10.0.0.296 du runtime de Flash Player pour les postes de travail. Celle-ci est également disponible au téléchargement, sur son site distribution.
Activer la fonction « click-to-play » pour se protéger
Ce correctif arrive alors qu'Adobe est déjà intervenu sur Flash Player la semaine dernière pour résoudre un autre problème zero-day, référencé CVE-2015-0310. Les attaques « drive-by-download » installent sans bruit des malwares sur les ordinateurs lorsque ceux-ci visitent un site compromis ou consultent des publicités malveillantes que les attaquants réussissent à publier sur les réseaux publicitaires en se faisant passer pour des annonceurs.
Lorsqu'elles exploitent des failles zero-day, il est difficile de se protéger de ce type d'attaques, puissantes et largement diffusées. L'Internet Storm Center de l'Institute SANS a relevé il y a quelques jours le niveau de menace de ces attaques. Une façon de s'en prémunir consiste à activer la fonction « click-to-play » (cliquer pour visionner) dans les navigateurs afin d'empêcher que les plug-ins comme Flash d'exécuter automatiquement un contenu (afficher une vidéo) sans le consentement de l'utilisateur.
Source : Le Monde Informatique (http://www.lemondeinformatique.fr/actualites/lire-adobe-corrige-une-2eme-faille-zero-day-dans-flash-60027.html), le 26 janvier 2015 par Lucian Constantin.
Le bulletin d'alerte d'Adobe sur la faille CVE-2015-0311 (http://helpx.adobe.com/security/products/flash-player/apsa15-01.html)
-
Pour montrer l'utilité des MàJ, bof...
J'y vois la démonstration de l'utilité de :
- bloquer les pubs
- bloquer Flash par défaut
- utiliser Google Chrome
-
Firefox est très très bien et je pense qu'il respect plus la vie privée que chrome ;)
-
Firefox a eu combien de failles exploitables?
Firefox a quelle défense en profondeur?
En quoi Firefox "respecte la vie privée" plus que Chrome?
-
Firefox est un excellent navigateur, meilleur que Chrome sur certains points, mais là il faut reconnaître que la sandbox est arrivé bien plus rapidement chez Chrome. Elle est prévue chez Firefox, mais cela entraîne des complications et elle est donc retardée.
Je cite IBM, qui préconise Firefox :
« Alors que les autres navigateurs sont apparus et repartis, Firefox fait figure de modèle de référence pour désigner ce qu'un navigateur ouvert, sûr, et conforme aux standards devrait être,» poursuit-il. « Nous allons continuer à voir tel ou tel navigateur devenir plus rapide ou arriver avec de nouvelles fonctionnalités, un autre le suivra et sera peut-être mieux encore, mais Firefox sera toujours là. »
-
Firefox a eu combien de failles exploitables?
Firefox a quelle défense en profondeur?
En quoi Firefox "respecte la vie privée" plus que Chrome?
- Failles très rapidement corrigées (impossible de ne pas avoir de failles)
- Ses codes sont libres et ouverts, tout le monde peut y contribuer, difficile de cacher un truc.
- Si tu fais confiance à Google pour ta vie privé ::)
C'est Firefox qui a été le 1er à vraiment respecter les standard du web, les autres ont beaucoup copier.
Les onglets, les addon, ... C'est Firefox.
-
Pareil pour Chromium.
-
- Failles très rapidement corrigées (impossible de ne pas avoir de failles)
- Ses codes sont libres et ouverts, tout le monde peut y contribuer, difficile de cacher un truc.
- Si tu fais confiance à Google pour ta vie privé ::)
C'est Firefox qui a été le 1er à vraiment respecter les standard du web, les autres ont beaucoup copier.
Les onglets, les addon, ... C'est Firefox.
les onglets, c'est opera le 1er !
les addons, je serais tenté de dire IE, avec tous les désastres que ça a engendré en barres de pub & co
-
- Ses codes sont libres et ouverts, tout le monde peut y contribuer, difficile de cacher un truc.
Tu peux répéter ça sans rire?
Qui arrive à contribuer à ces machines?
Et dans bash, combien de personnes avaient vu qu'il y avait un truc pas net sur l'importation de fonctions?
-
Tu peux répéter ça sans rire?
Qui arrive à contribuer à ces machines?
Et dans bash, combien de personnes avaient vu qu'il y avait un truc pas net sur l'importation de fonctions?
Ben il faut qd même savoir coder, après ils voient. C'est comme partout ça évite la merde.
C'est comme pour GNULinux il y a des contributeurs, mais ceux pour le noyaux ne sont pas si nombreux il faut le niveau ;)
Si tu crois qu'il y beaucoup de débugueur.
Va demander les codes sources de IE si tu pense pouvoir le débuguer, tu seras bien reçu.
-
il te parle des failles qu'il y a eu dans bash et que personne n'a vu (shellshock)
il y a aussi heartbleed (suite à un débug ...) et Ghost (aucune idée c'est trop récent ) ..
-
Et des trucs sérieux .. non ?
Le seul récent sérieux, c'est sur Openssl, qui est et reste la meilleure "bibliothèque cryptographique".
-
Failles très rapidement corrigées (impossible de ne pas avoir de failles)
Ah oui, combien d'années avant de corriger la faille qui permettait de mesurer facilement si un lien est :visited?
-
Va demander les codes sources de IE si tu pense pouvoir le débuguer, tu seras bien reçu.
On peut pas debug au niveau des appels aux DLL?
-
Je pense que tout le monde s’accorde pour dire qu'il y aura plus de failles de sécurité sur un projet dont peut de personnes ont accès au code, plutôt que un code qui est ouvert.
-
Je pense que tout le monde s’accorde pour dire qu'il y aura plus de failles de sécurité sur un projet dont peut de personnes ont accès au code, plutôt que un code qui est ouvert.
Je pense que tu fais erreur...
-
il y a aussi heartbleed (suite à un débug ...)
Heu non
Heartbleed = manque de validation d'un champs taille dans un message "ping"
-
il te parle des failles qu'il y a eu dans bash et que personne n'a vu (shellshock)
Je parle pas tellement des failles liées à des nombreux bugs du parser bash, que du fait qu'on puisse définir des fonctions (avec un nom arbitraire, y compris contenant des "/") et donc utiliser le parser via une variable d'environnement quelconque.
Et ça c'était pas du tout un truc subtil ou caché, c'était juste une fonctionnalité ALC non documentée officiellement de bash.
-
Je pense que tout le monde s’accorde pour dire qu'il y aura plus de failles de sécurité sur un projet dont peut de personnes ont accès au code, plutôt que un code qui est ouvert.
C'est vrai en général mais si le source du projet en question est utilisé, modifié, lu, examiné, compilé, etc par beaucoup de personne, autre que l'équipe initiale.
Ca tient donc plus au nombre de personnes et ce qu'elles font avec le source qu'au fait que celui ci soit ouvert ou pas. Le fait d'être ouvert, en général, permet directement d'avoir plus de personnes dessus d'ou cette impression généralement admise mais cela n'est pas systématique ou garantie. Beaucoup de projets open source ont très peu de monde qui auscultent leur source...souvent moins que les projets non ouverts de la même taille.
Il ne faut pas tomber aussi dans l’excès de confiance, du genre 'bah c'est open source donc d'autres auront été vérifier le source'. qui vérifie que quelqu'un a vérifier ? ...
Apres il y a aussi la 'chaîne de confiance': les gens qui installent et utilisent Ubuntu ou Firefox font confiance aux quelques personnes qui compilent et génèrent les binaires...tout comme ceux qui installent Windows et IE... Il n'y pas a ma connaissance de mécanisme 'garantissant' que tel binaire d'Ubuntu ou celui Firefox correspond bien a son source et a une façon 'canonique' de le compiler et le générer...(il faut aussi garantir l'intégrité des compilateurs, linkers, modules tiers, etc).
L'utilisateur 'parano' se doit de compiler TOUT lui même, et même dans ce cas, il faut qu'il soit sur de l'intégrité de code source qu'il a récupéré (confiance en l’hébergeur ou en le miroir par exemple). Bref de toute façon, a moins de lire et vérifier l'intégralité du code source soi-même (et des outils pour compiler ... et de l'OS sur lequel on compile...etc) on est bien obligé de faire confiance a d'autres a un moment...
Donc cela n'est pas qu'une histoire de source, c'est toute la chaîne et ses outils.
-
C'est pas seulement le fait que personne n'essaie de lire les sources... il faut voir la tronche de certains trucs... franchement le code de OpenSSL c'est assez space!
-
Je connais des (gros) logiciels embarqués dont l'architecture a explosé et qui sont des horreurs pour les développeurs. Et dire qu'il faut maintenir pendant la durée de vie de l'équipement.
-
Qui arrive à contribuer à ces machines?
J'ai contribué à l'époque à Firefox (ou plutôt à Mozilla à l'époque où Firefox n'existait pas encore). Plus exactement à XPCOM.
Je te concède bien volontiers que le code source n'est pas facile d'accès - c'est tout sauf de la tarte... cependant les responsables sont très volontaires pour corriger et intégrer les patches qui ne proviennent pas forcèment de l'équipe principale.
Le moins qu'on puisse dire, c'est que le résultat global est plutôt bon (pour XPCOM en particulier, je m'avancerai moins (https://brendaneich.com/tag/xpcom/)... :P)