Incroyable que pa encore en exploitation, à part quelques machines, le
truc soit si mauvais.
Gageons que fin janvier, il y'aura déjà 20 MB de correctifs à
tàlécharger ;>))
Ca réfute la légende comme quoi les OS les moins repandus seraient
moins sujets au failles ...
http://www.clubic.com/actualite-67442-failles-windows-vista.html
GoBack
> Déjà bourré de failles comme un vieil os rongé par les vers..
Hélas, GNU/Linux devient pas mal non plus à ce niveau, c'est
peut-être le prix à payer pour l'accélération du développement de
fonctionnalités.
>
> Incroyable que pa encore en exploitation, à part quelques machines, le
> truc soit si mauvais.
C'est aller un peu vite en besogne de parler de "truc si mauvais" sans
avoir laissé le temps à Vista de gagner de lui-même cette
réputation, non ?
Et puis, ce ne sont pas a priori des supers "remote-root exploits" à
la lsass ou rpc/dcom. Ces failles là, si elles existent, sont
monayées sous le manteau pour l'instant, en attendant une diffusion en
masse du système pour avoir un maximum d'efficacité. C'est à ce
moment là, que l'on verra si Microsoft a vraiment repensé son OS, ou
juste mis une surcouche de peinture sur XP.
>
> Gageons que fin janvier, il y'aura déjà 20 MB de correctifs à
> tàlécharger ;>))
>
> Ca réfute la légende comme quoi les OS les moins repandus seraient
> moins sujets au failles ...
s/répandus/connus/
Et oui, Vista est déjà très connu, et ce avant d'être sorti, ce qui
lui vaut toute l'attention des chasseurs et, hélas, des exploiteurs de
failles.
--
Laurent C.
C'est surtout inquiétant dans la mesure où les restrictions imposées
sous Vista (notamment le vérouillage de pas mal de drivers, ou le
vérouillage vis à vis des vendeurs d'antivirus) avaient été faites sous
le prétexte que cela augmenterait la sécurité.
Avoir un OS où l'on n'a ni la sécurité ni la liberté (par exemple,
liberté de pouvoir utiliser une vidéo HD sans avoir cinquante
certificats et les autorisations pour chaque composant intermédiaire)
est amha à terme un mauvais choix, indépendemment des qualités
intrinsèques que l'on peut lui trouver.
Mais bon, de toute manière Microsoft joue sur du velours: à terme Vista
sera indispensable (lire "incontournable"), dans la mesure où les
prochaines générations matérielles/logicielles multimédia seront
vérouillées pour cet OS. Et la HD - qui nécessitera un certificat payant
*et* sécurisé que seul Microsoft pourra se payer *et* garantir via son
nouveau noyau n'est pas la seule (mauvaise) surprise qu'aura le
consommateur désireux d'avoir une alternative (Linux, ou tout autre OS)
encore de la liberté qui s'en va
bon courage les esclaves des multinationales
> Hélas, GNU/Linux devient pas mal non plus à ce niveau, c'est
> peut-être le prix à payer pour l'accélération du développement de
> fonctionnalités.
Ah bon?!
Quoi par exemple?
--
@+
gr
> encore de la liberté qui s'en va
> bon courage les esclaves des multinationales
Note quand même que si on ne se sert de son ordinateur que pour des
choses que d'autres appareils ne font pas, on est loin d'etre esclave.
Par exemple, moi je regarde la TNT avec mon televiseur HD, J'enregistre
les emissions que j'ai raté avec l'enregistreur numérique que j'ai, je
joue a des jeux video avec ma Playstation, etc etc. Et pourtant, mon
ordinateur me sert encore pour beaucoup de choses: compression des DVD,
retouche d'image [avec gestion des profils colorimétriques], post/troll
sur Usenet, rédaction de projets, chat,...)
A force de tout vouloir vérouiller Vista va encourager pas mal de
monde à passer au logiciel libre
je suis entrain de tester linux grace à la distribution ubuntu
et je suis agréablement surpris
A+
A+
Lancelot
[supprimer leurre pour me répondre]
> A force de tout vouloir vérouiller Vista va encourager pas mal de
> monde à passer au logiciel libre
Il ne sont pas cons, chez Microsoft.
On doit se rappeler pourquoi M$ a créé Vista.
ÀMHA, 2 raisons majeures: justifier la valeur en bourse de 250 G$
(donc, maximiser les revenus, ce qui inclut d'empêcher les copies
pirates, y compris ceux des autres vendeurs), et répondre à la
poursuite antimonopole en livrant un nouvel OS qui sera
incompatible avec Win XP (pourtant, dans ce que j'ai lu sur Vista,
aucun mot à ce sujet) et qui démontrerait qu'on choisit Windows pour
sa qualité et non parce que c'est un monopole.
Sur le 1er point, cela signifie qu'ils se foutent complètement des
usagers qui ne voudront pas payer. Vista n'est pas pour celui
qui veut utiliser par exemple son navigateur sans devoir payer des
royautés à M$ à chaque site visité, ou qui veut écrire des textes
sans payer de royauté pour l'utilisation de Word, etc. Il y a un
problème de taille si les futurs PC ne peuvent que fonctionner avec
Vista (en rendant les cartes de périphérique non fonctionnelles
si on n'a pas Vista). Je n'ose pas imaginer un tel cauchemar si
cela arrivait.
Sur le 2e point, j'ai l'impression que cette poursuite antimonopole
n'est que du vent et que le gouvernement américain ne fera jamais
un geste réel pour empêcher une compagnie américaine de dominer
pour les 25 prochaines années l'informatique mondiale.
Dans les deux cas, je ne suis pas certain que même un Vista hyper
pourri serait un échec. D'ailleurs, chaque jour, des millions de
personnes voient leur PC se faire infecter par un virus quelconque
et il n'existe apparemment aucune poursuite contre M$ à ce sujet.
Denis
Sur toute les boites d'informatique qui étaient incontournable il y 1/4
de siecle, combien existent encore de nos jours ? Ils étaient pas cons,
mais ils ont tous fait *la* connerie qui leur a été fatale. Il n'y a pas
de raison que Microsoft y echappe indéfiniment.
--
Franck Yvonnet <fra...@yvonnet.org>
"Are you sure that a floor cannot also be a ceiling? Are you absolutely
certain that you go up when you walk up a staircase?"
- M.C. Esher
Et *la* connerie qui leur a été fatale a souvent été de faire confiance à
Microsoft. *La* connerie fatale, c'est de croire qu'on peut coexister avec
Microsoft.
> [En-tête "Followup-To:" positionné à fr.comp.os.linux.debats.]
> Le 27-12-2006, Rakotomandimby (R12y)
> <mihamina.ra...@etu.univ-orleans.fr> a écrit :
>> Il ne sont pas cons, chez Microsoft.
>
> Sur toute les boites d'informatique qui étaient incontournable il y
> 1/4
> de siecle, combien existent encore de nos jours ? Ils étaient pas
> cons,
> mais ils ont tous fait *la* connerie qui leur a été fatale. Il n'y a
> pas
> de raison que Microsoft y echappe indéfiniment.
Bof, tant que Billou aura toute sa tête ! Et il est jeune... lol
--
Jacquouille la Fripouille
Attention, on dirait qu'il y a un virus qui a changé ta signature en un
pseudonyme débile, et qui rajoute des « lol » aléatoirement à la fin de tes
phrases.
Mais non. On reconnait les/certains utilisateurs windows par leur
pseudonymes débiles justement. Le deuxième critère pour les reconnaitre
c'est les "lol".
> "Jacquouille la Fripouille" , dans le message
Tu ne connais pas OE-QuoteFix et ses émoticons :
:-) ;-) :o) lol rofl etc.
Quant au pseudo, chaque bon user de news utilise un nom de guerre !
*eg*
--
Jacquouille la Fripouille
__________
Ha le fameux QuoteFix...
A part pour mettre le texte en forme ( et en couleur ) je n'ai jamais su
m'en servir.
A chaque fois que je tapes un smiley il faut que je me souvienne du code
genre celui là : :-)
Que je trouve là:
http://ardf.free.fr/OE-QuoteFix/emoticons.html
Et pourtant ils sont dans un dossier de OEQF ini...mais je n'ai pas
compris.
Happy new year !
A vo't bon coeur M'sieur.
--
CrAzYbOb
Reply to valid
Répondre à valide
> Ha le fameux QuoteFix...
>
> A part pour mettre le texte en forme ( et en couleur ) je n'ai jamais
> su m'en servir.
>
> A chaque fois que je tapes un smiley il faut que je me souvienne du
> code genre celui là : :-)
>
> Que je trouve là:
>
> http://ardf.free.fr/OE-QuoteFix/emoticons.html
>
>
> Et pourtant ils sont dans un dossier de OEQF ini...mais je n'ai pas
> compris.
Oui, mais pour avoir la correspondance, tu peux enregistrer le fichier
http://ardf.free.fr/OE-QuoteFix/emoticons.html au format *.mht, et tu
mets ce ficher dans le dossier Program Files/OE-Quotefix. J'ai même fait
un raccourci de ce fichier dans le dossier OE-QF du Menu Démarrer, ce
qui me permet de l'avoir sous la main pour les quelques dont je me sers
peu.
8-)
--
Jacquouille la Fripouille
> *Bonjour NM*
Ahhh bein alors...
C'est tout de suite beaucoup mieux là :-D
Il y a des années que je voulais poser la question, mais José pas trop
:-p
Ben voilà, le père Noel m'aura donc apporté quelque chose alors...
Merci beaucoup ! :-)
bob
> >> Ha le fameux QuoteFix...
> >>
> >> A part pour mettre le texte en forme ( et en couleur ) je n'ai jamais
> >> su m'en servir.
> >>
> >> A chaque fois que je tapes un smiley il faut que je me souvienne du
> >> code genre celui là : :-)
> >>
> >> Et pourtant ils sont dans un dossier de OEQF ini...mais je n'ai pas
> >> compris.
> >
> > Oui, mais pour avoir la correspondance, tu peux enregistrer le fichier
> > http://ardf.free.fr/OE-QuoteFix/emoticons.html au format *.mht, et tu
> > mets ce ficher dans le dossier Program Files/OE-Quotefix. J'ai même
> > fait un raccourci de ce fichier dans le dossier OE-QF du Menu
> > Démarrer, ce qui me permet de l'avoir sous la main pour les quelques
> > dont je me sers peu.
> > 8-)
>
> Ahhh bein alors...
>
> C'est tout de suite beaucoup mieux là :-D
>
> Il y a des années que je voulais poser la question, mais José pas trop
> :-p
>
J'avais presque oublié le coté simple de Windows dans tellement
d'aspects. On voit bien ici la puissance du systême permettant
d'écrire des smileys de façon totalement transparente pour
l'utilisateur lambda.
Alors que sous Linux, mon dieu que c'est compliqué:
:-) ;-) XD %-( :,-( 8-) :-p
Car il faut en effet "taper des caractères bizarroïdes sur le
clavier" pour arriver au même but. Et autant vous dire que c'est bien
plus long que la procédure donnée au dessus avec des raccourcis, des
copies dans je ne sais quel dossier.
--
Laurent C., lol, rofl, mdr, asv ,kikoo, ptdr, etc... :-(*)
>
> J'avais presque oublié le coté simple de Windows dans tellement
> d'aspects. On voit bien ici la puissance du systême permettant
> d'écrire des smileys de façon totalement transparente pour
> l'utilisateur lambda.
>
> Alors que sous Linux, mon dieu que c'est compliqué:
>
> :-) ;-) XD %-( :,-( 8-) :-p
>
> Car il faut en effet "taper des caractères bizarroïdes sur le
> clavier" pour arriver au même but. Et autant vous dire que c'est bien
> plus long que la procédure donnée au dessus avec des raccourcis, des
> copies dans je ne sais quel dossier.
______
Heu... ironie or not ?
:-D
> Ahhh bein alors...
>
> C'est tout de suite beaucoup mieux là :-D
>
> Il y a des années que je voulais poser la question, mais José pas
> trop :-p
>
> Ben voilà, le père Noel m'aura donc apporté quelque chose alors...
>
> Merci beaucoup ! :-)
>
Merci du retour ! :o)
--
Jacquouille la Fripouille
>
>
> Heu... ironie or not ?
Lolo est nunuxien, donc il nous met en boîte. Pas grave ! rofl
--
Jacquouille la Fripouille
> *Bonjour NM*
> Dans news:4593a175$0$16735$426a...@news.free.fr, tu as tapoté sur ton
> clavier pour écrire :
>
>
>>
>>
>> Heu... ironie or not ?
>
> Lolo est nunuxien, donc il nous met en boîte. Pas grave ! rofl
Haaa, j'avais bien eu un dôute sur ce post là...
;-)
Bon, pour être sûr de ne pas oublier ta méthode, j'ai fait une sauvegarde
du Système ( Acronis US True Image 8 kim suffit )
Bonne fin d'année :-)
Tu m'ôtes les mots du clavier, là. Comme il y a un peu d'extrapolation,
je ne sais pas dans quelle mesure les scénarios catastrophe (pour le
pigeon qui s'est fait plumer en achetant une licence de Vista) risquent
de se produire dans le Monde Réel, mais ils sont assurément dissuasifs.
La comparaison entre les efforts de Microsoft avec Vista et ceux d'Apple
avec iTunes, vers la fin, est fort intéressante.
>
> est-ce que quelqu'un a commencé à traduire ce papier :
> http://www.cs.auckland.ac.nz/~pgut001/pubs/vista_cost.txt ?
Notons d'ailleurs que la fameuse DRM nouveau genre du HD-DVD et BluRay
aurait été craquée pas plus tard qu'aujourd'hui.
Cependant ce passage est particulièrement intéressant :
Elimination of Open-source Hardware Support
-------------------------------------------
In order to prevent the creation of hardware emulators of protected output
devices, Vista requires a Hardware Functionality Scan (HFS) that can be used
to uniquely fingerprint a hardware device to ensure that it's (probably)
genuine. In order to do this, the driver on the host PC performs an operation
in the hardware (for example rendering 3D content in a graphics card) that
produces a result that's unique to that device type.
In order for this to work, the spec requires that the operational details of
the device be kept confidential.
Décidément, la GPL v3 est bien, non?
D'un autre côté le tableau général de l'article est si noir que Vista en
serait quasi inutilisable, et serait immanquablement rejeté violemment
par les utilisateurs en quelques mois, je ne pense pas que Microsoft
commette un suicide de cette ampleur.
--
Les défauts n'apparaissent qu'après que le programme a passé (avec
succès) la phase d'intégration.
Loi de Klipstein.
> Xavier Roche wrote:
> >
> > Avoir un OS où l'on n'a ni la sécurité ni la liberté (par exemple,
> > liberté de pouvoir utiliser une vidéo HD sans avoir cinquante
> > certificats et les autorisations pour chaque composant intermédiaire)
> > est amha à terme un mauvais choix, indépendemment des qualités
> > intrinsèques que l'on peut lui trouver.
>
> est-ce que quelqu'un a commencé à traduire ce papier :
> http://www.cs.auckland.ac.nz/~pgut001/pubs/vista_cost.txt ?
>
> la possibilité de révoquer les certificats d'un driver mal écrit et de
> transformer en boîte à chaussure les futurs ordinateurs compatibles Vista
> me remplissent de bonheur : la sécurité est un métier difficile et les
> développements de drivers commerciaux avec leurs économies de bout de
> chandelle n'ont pas fini de faire rigoler
>
En même temps, ils restent dans la même logique chez Microsoft, voici
un extrait d"un site maintenu par les développeurs d'un outil de
sécurité:
---------------------------------------------------------------
It turns out that later OS's (XP SP 2, 2003) have the ability to do
something called "data execution prevention", or DEP. Ostensibly, this
feature "prevents" stack-based overflow attacks (which is a total myth,
but I digress). The method that programs like pwdump and cachedump use
to do their dirty work involves writing to the memory of another
process, at which point DEP steps in and shakes its finger at us. Well,
kind of. What actually happens is that our happy remote thread dies,
taking LSASS with it. Bummer.
In yet another awesome bit of luck for us, this problem is fixed
by...get ready...setting a flag. Yes, it seems that, as long as you
mark the memory as "executable", DEP allows it to occur and everyone is
happy. It's a good thing no attackers would EVER set that flag...
---------------------------------------------------------------
Dans le premier paragraphe, ils disent en gros que la fonction DEP
(Data Exectution Prevention) de Microsoft leur a posé problème en
empêchant un débordement de pile que leur soft utilise pour
fonctionner.
Dans l'absolu, c'est plutôt bien, ça peut limiter la portée de pas
mal de failles logicielles.
Mais la deuxième partie est hilarante, ils ont trouvé la parade en
détournant le DEP grâce à une *fonctionnalité* de l'implémentation
de DEP chez Microsoft, un "flag" qui donne l'immunité à l'exécutable
qui l'implémente.
Bref, le DEP de Windows XPSP2 et W2k3SP1 ne sert à rien, et je suis
sûr que vont être trouvés d'autres gag du même genre dans Vista.
--
Laurent C.
> stack-based overflow attacks (which is a total myth,
Ouais, ça fait peur.
À quand les médecins qui ne croient pas à l'hygienne ?
<quote>
Ostensibly, this feature "prevents" stack-based overflow attacks
(which is a total myth, but I digress).
</quote>
C'est sur le fait que le DEP "empêche" les attaques par débordement
de pile, qu'ils sont incrédules, pas sur la faisabilité d'une telle
faille. Faudrait vraiment débarquer et ne pas avoir vu un Windows
rebooter subitment pour cause de Sasser, pour affirmer une chose
pareille.
Il est vrai que le "which" prête a confusion, mais avec la phrase
entière, le sens est sans équivoque.
--
Laurent C.
Avec microsoft, c'est s'adapter ou disparaitre. Les gens s'adapteront,
payeront (non seulement le soft, mais aussi le hard necessaire pour
que vista tourne) et utiliseront.
Je prefere rester sous linux, amha.
--
Kevin
--
La police était dans son appartement. Fassolia Plaki! Un grand bol de
haricots cuits dans une sauce aux légumes et aux tomates.
--{ Un cheval dans la salle de bains }--
Et ça vous dérangerait de garder vos ironies débiles chez
les kroteux vérolés ?
--
+ Parfois, le tonnerre craquait méchamment dans le ciel, comme si
+ des noix gigantesques s'étaient heurtées dans le panier renversé
+ des nues liquides.
--{ JP Andrevon }--
--
Croire en plusieurs dieux sans rien attendre d'eux est un bon moyen d'éviter
de se mettre irrémédiablement la râte au court-bouillon.
http://www.miscmag.com/fr/index.php?2006/11/05/22-misc-28-exploits-et-correctifs
--
Mince alors, un blog de dino -> http://tontonth.free.fr/plop/ :)
> Le 28-12-2006, Emmanuel Florac <efl...@imaginet.fr> a écrit :
> >
> > D'un autre côté le tableau général de l'article est si noir que Vista en
> > serait quasi inutilisable, et serait immanquablement rejeté violemment
> > par les utilisateurs en quelques mois, je ne pense pas que Microsoft
> > commette un suicide de cette ampleur.
> >
> On a bien entendu la meme chose avec le SP2 de windows XP lors de sa
> sortie, avec des listes incroyablement longues de programmes ne
> fonctionnant plus avec ce service pack.
Oui, mais ces incompatibilités étaient dues à 95% à la fonction
firewall _révolutionnaire_ de l'époque, et les 5 autres pourcent dus
aux antivirus n'apparaissant pas dans le "centre de sécurité". Avec
Vista les problèmes potentiels semblent bien plus handicapants.
> Quelques mois plus tard, on entendait d'autres personnes louer le SP2,
> la securite qu'il amenait, etc, etc et on ne voit plus un seul XP
> sans le SP2 aujourd'hui.
Ben ils leur a fallu quelques mois pour apprendre a ouvrir les bons
ports sur le firewall pour se servir des logiciels posant problème.
C'était très nouveau un firewall pour les Windowsiens à l'époque.
>
> Avec microsoft, c'est s'adapter ou disparaitre. Les gens s'adapteront,
> payeront (non seulement le soft, mais aussi le hard necessaire pour
> que vista tourne) et utiliseront.
> Je prefere rester sous linux, amha.
Qui vivra verra, pour ma part je ne suis pas non plus directement
concerné par Vista.
--
Laurent C.
> D'un autre coté (parano-side), un suicide programmé avec autant
> d'argent en réserve, c'est peut-être un moyen efficace d'arriver à
> autre chose.
L'excellent et drôle blog "roughlydrafted.com" fait des considérations
intéressantes sur le sujet, en particulier sur le fait que depuis des
années et des années, les utilisateurs rejettent régulièrement et
constamment toute tentative de leur imposer des trucs "en location", des
films qui s'effacent tous seuls, des logiciels à usage unique, etc. En
vertu de quoi la nouvelle stratégie de MS devrait finir dans le mur (joie).
Mon humble avis sur la question, au seul vu de ce que tu cites :
D'abord, si DEP signifie "une technique pour que la pile ou le
tas ne soit pas exécutable", il me semble que c'est UNE des
méthodes pour se prémunir contre CERTAINS débordements de pile.
Si quelqu'un a écrit que cette technique réglait le problème
de tous les débordements de buffer, c'est un imbécile. Qui
est-ce donc qui a écrit ça ?
Ensuite, sous OuinOuin, UNE des façons d'injecter du code dans
un process en train de tourner, à partir d'un autre process, est
d'utiliser les APIs Win32 VirtualAllocEx et CreateRemoteThread.
Il est possible que certaines façons de mal utiliser ces APIs
ne "marchent" plus après l'application de tel ou tel correctif.
En particulier, j'imagine bien un programmeur habitué à ne
pas positionner le flag "executable" tout surpris de voir
CreateRemoteThread planter le process distant après avoir
alloué une page de "données" et l'avoir remplie avec du
code machine.
Bref, évidement, qu'on peut positionner le flag "executable"
quand on alloue de la mémoire virtuelle. Encore heureux !
Donc, et jusqu'à plus ample informé, je dis que "It's a good
thing no attackers would EVER set that flag..." est une
affirmation de GUIGNOL.
Si l'attaquant se retrouve à pouvoir allouer de la mémoire
virtuelle pour y écrire du code à lui, tout le monde se
contre-tape de savoir s'il peut ou non choisir les flags
de protection de cette mémoire.
--
<Lisa> bon vs rigolez pas sur ma tof hein ^^
<Ferry> t'inquiète : )
<oOSephyOo> meuh non
<wa_za> ba t'es bien ^_^
* BamAWAY is now known as Bam
<Bam> PUTAIN LE THON
* Lisa quit
<Bam> je vous jure c'est la DERNIERE fois que j'en mange pour faire plaisir à ma mère
<Bam> pourquoi elle est partie la nouvelle ?
> <quote>
> Ostensibly, this feature "prevents" stack-based overflow attacks
> (which is a total myth, but I digress).
> </quote>
>
> C'est sur le fait que le DEP "empêche" les attaques par débordement
> de pile, qu'ils sont incrédules, pas sur la faisabilité d'une telle
> faille.
un autre lecture possible : il est impossible d'empecher les debordements
de pile. d'ou "prevents" entre guillemet. donc ce mecanisme est un myth.
bh voila, mon anglais 2 cts
Oui, du genre se faire oublier et revenir discrètement comme IBM... ou
plus probablement disparaitre comme DEC, Data General, etc....
--
Franck Yvonnet <fra...@yvonnet.org>
"Are you sure that a floor cannot also be a ceiling? Are you absolutely
certain that you go up when you walk up a staircase?"
- M.C. Esher