Les failles n'étaient vraiment pas corrigées ou elles l'étaient mais les postes piratés n'étaient pas à jour au niveau des correctifs ? (je pose simplement la question sans défendre qui que ce soit)Envoyé par pmithrandir
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Les failles n'étaient vraiment pas corrigées ou elles l'étaient mais les postes piratés n'étaient pas à jour au niveau des correctifs ? (je pose simplement la question sans défendre qui que ce soit)
Je crois que tu ne sais pas comment sont géré la plupart des failles.
La plupart du temps, elles sont découverte par des gens bien intentionnés ou bien gardées comme 0day. Elle ne sont que rarement publiées publiquement avant la correction.
Si ce sont les programmeurs qui la découvrent, ils la corrigent, et si les gens sont bien intentionnés, il en parlent aux dev.
Les programmeur corrigent la faille. Dans le cas d'un LL, cette faille va être rendu publique, après correction, alors que dans l'autre cas non.
On compare donc ici deux chiffres mais cela ne veux rien dire : ces chiffres ne mesurent pas la même chose.
C'est bien plus sérieux que celle de la news. Cela dit, la criticité des failles n'est aps prise en compte. Or c'est une paramètre important.
Donc au final, la plupart du temps, peu importe le nombre de faille d'une appli, elles ne sont connues qu'une fois corrigées donc pas énormément dangereuses (puisque non exploitées) ? donc pour l'utilisateur final (de son point de vue), le nombre de faille n'est pas vraiment un critère de choix.
Tout cela à condition qu'il mette à jour très régulièrement son logiciel car une fois rendu publique, là pour le coup, ça devient dangereux.
@dealalnix :
En effet, je ne dis pas que seul Firefox possède des faiblesses, loin de là. Tous les navigateurs en ont. Il se trouve juste qu'il est EXTRÊMEMENT SIMPLE d'exploiter les faiblesses de sécurité dans les extensions au niveau de firefox, alors qu'il faut quand même bien plus de recherches et de connaissances pour faire quelque-chose de similaire dans IE. N'importe quel initié à l'informatique et au javascript peut développer sa propre extension malicieuse. Conjugué à cela que personne ne contrôle réellement toutes les extensions "faites pour notre bien" disponibles sur Internet, on est parfaitement en mesure de penser qu'il en existe dans le lot qui sont vérolées (parfois sous des aspects totalement inoffensifs de gadget météo ou autre) !
@Firewen:
On peut tout de même récupérer TOUTES les informations concernant l'utilisateur... Et dans le cas d'une entreprise, récolter aussi par ce biais des mots de passe d'accès à l'intranet de l'entreprise elle-même, la totalité du contenu des webmails, les numéros de CB, les contrats... Enfin, si tu persistes à dire qu'il n'y a aucun problème à ça, autant ne plus utiliser de mots de passe du tout !les extensions étant installées uniquement sur la session de l'utilisateur dans le cas d'une installation en entreprise correctement effectuée, je vois pas où est le problème.
@entreprise38 :
Ca m'a l'air d'être totalement ça parfois...
@BainE :
Tu oublies bien des vecteurs d'infection (clés USB, CDs, e-mail...). Mais aussi les extensions vérolées téléchargeables (à l'insu ou non de l'utilisateur !).
Le plus grave est que l'installation d'une extension se fait sans même la nécessité d'un compte administrateur, sans toucher à aucun fichier "protégé". Aucune nécessité de configuration de connexion non plus (proxys, firewall...) : simple HTTP/HTTPS via firefox. Quasi-indétectable (sauf à aller voir soi-même sur wireshark...) mais le fais-tu systématiquement à chaque fois que tu regardes tes mails ?
N'est-ce pas plus simple que de s'introduire dans une machine par l'extérieur, quand tu dois te soucier de ta non-détection ? Et qu'il faut aussi arriver à mettre en place des keyloggers et autres spywares pour arriver à tes fins ? (facilement détectables qui plus est...) !
Faux, c'est juste parce dans mon article je ne présente pas le moyen de le faire. Mais avec XPCOM tu peux très bien l'améliorer (facilement!) pour qu'il puisse lire des instructions sur un serveur, les exécuter en local, et renvoyer le résultat (récupérer l'arborescence de fichiers, un fichier en particulier, corrompre des fichiers, ... les possibilités sont très nombreuses)Le pluggin ne te donne acces a rien, il t envoie juste les data des formulaires en esperant que ce soit des données sensibles.
D'une part, Word et Excel sont des fichiers protégés et signés ; On ne peut pas les modifier comme ça (droits invité). De plus, ils soulèvent facilement des doutes lorsqu'ils essayent de se connecter à permanence à Internet...Ca prouverait que Word et Excel ont des failles
@thelvin :
Tout à fait. Le problème se situe plus sur la gestion des extensions que sur le logiciel en lui-même. Il devrait être interdit de dissumuler une extension, ou de permettre de l'installer silencieusement.
Il manque une conclusion à tout ça, parce que la mienne, c'est "et alors ?" Il y a besoin d'accéder à la machine pour le faire silencieusement. Et effectivement, convaincre l'utilisateur d'installer une extension malhonnête est trop facile. Point.
Bon, ton étude je l'aime bien, mais il faut arrêter de se toucher, maintenant.
Si tu as accès à la machine, presque tout est piratable, IE, winlogon, Flash, Firefox, une bonne partie de trucs MacOs et linux aussi, presque tout, sans compter que les caches sont grand ouverts à l'inspection. Que ça soit compliqué à faire n'a pas d'importance car :
- C'est accéder à la machine, qui est compliqué,
- De toute façon, des scripts kiddies qui savent faire les trucs compliqués t'ont fait ton programme tout prêt qu'il n'y a plus qu'à exécuter.
C'est comme ça, et un de ces jours il faudra te le mettre dans le crâne, c'est quand même un peu la base de la base. C'est justement à cause de ça que les "malwares," ça existe autant.
Par ailleurs, certes il n'y a pas besoin de l'accès admin pour ça. Mais si tu as accès à la machine, l'accès admin n'est pas forcément compliqué à obtenir, au moins sur Windows. Ça aussi c'est une réalité.
(Ancien :
Et tu as justement prouvé qu'on ne peut pas le faire. Il faudrait voir à pas se planter dans tes propres conclusions.
Correction : )
Et tu as justement prouvé que l'approche naïve ne le permet pas. Il faudrait voir à pas se planter dans tes propres conclusions.
Non, tu n'as pas comprit.
Les faiblesses ne sont pas connues publiquement, ça ne signifie pas qu'elle ne sont pas connuesElles ne seront par contre pas prises en compte dans cette étude.
Justement... c'est trop facile, ça ne te gène pas?
T'es un peu de mauvaise foi là... Si tu as déjà accès a la machine... Que t'es admin partout... tu vas pas t'amuser a installer une extension pour firefox silencieusement c'est sur...
Par contre donner accès a quelqu'un a ton homebanking, ton compte paypal ou autre, juste parce que tu as installer une extension qui te donne la météo dans ta ville...
Sur xp sans service pack, j'avoue oui... Mais ça reviendrais a comparer XP a une version de linux ou de mac sortie y'a plusieurs années ça...
Est ce que c'est toujours aussi facile sous windows 7? (simple question hein)
Tu as vraiment qqch contre ni69 hein?
(Avant : Non, car ce n'est pas gênant. Pour quelqu'un qui cherche à le faire, et qui a accès à la machine, pirater n'importe quoi est trop facile. Firefox ou autre chose, ça n'a pas d'importance, rien n'est difficile.)
Après : Pardon, je t'ai mal lu. Si si, c'est effectivement très grave que faire installer une extension malhonnête soit si facile. Quand c'est moi qui gère l'ordi des gens pas habitués, je bloque ça. Ça devrait être fait par défaut.
Mais ce n'est pas le sujet qui m'a fait réagir.
Je ne suis pas du tout de mauvaise foi mais je suis d'accord : Si tu as déjà accès a la machine... Que t'es admin partout... tu vas pas t'amuser a installer une extension pour firefox. Raison pour laquelle ce n'est pas Firefox le problème, ici.T'es un peu de mauvaise foi là... Si tu as déjà accès a la machine... Que t'es admin partout... tu vas pas t'amuser a installer une extension pour firefox silencieusement c'est sur...
Nan mais je suis d'accord mais on parle pas de ça, on parle d'avoir une extension qui s'installe sans qu'on le sache, à cause d'un accès local à l'ordi.Par contre donner accès a quelqu'un a ton homebanking, ton compte paypal ou autre, juste parce que tu as installer une extension qui te donne la météo dans ta ville...
Le truc c'est que si tu as réussi à faire ça, c'est que l'utilisateur te fait confiance. Sous Windows il te l'a déjà donné, le droit admin. Et puis, pour modifier les données persos d'une session utilisateur, quel que soit l'OS, pas besoin d'accès admin.Sur xp sans service pack, j'avoue oui... Mais ça reviendrais a comparer XP a une version de linux ou de mac sortie y'a plusieurs années ça...
Est ce que c'est toujours aussi facile sous windows 7? (simple question hein)
Bref, Seven ou autre chose, même combat, les OS utilisateurs sont faibles devant ce genre d'attaque.
Je me suis trop énervé, c'est carrément clair. Nan, ce qui m'a fait voir rouge, c'est que son étude sur un rootkit dans Firefox, elle est sympa et bien faite, on a besoin de ce genre de choses.Tu as vraiment qqch contre ni69 hein?
Alors la déception quand manifestement il se trompe sur les principes de base de la sécurité... Beuark, ça m'énerve. Ça marche pas comme ça, c'est tout. Normalement je commence même pas à discuter quand on sait pas de quoi on parle, mais comme l'étude était intéressante, je me suis laissé prendre... Bouh, missa s'est laissé tromper, missa est pas fier.
pour infos, il existe des moyens de restreindre les droits des extensions Firefox, même si ce n'est pas fait par défaut
il est possible d'installer des extensions en mode administrateur, et elles seront accessibles à tous les utilisateurs
via ce genre d'extension obligatoire, pourquoi ne pas :
- interdire d'utiliser des composants xpcom "locaux", ie fournis par une extension utilisateur
- interdire les requêtes XMLHttpRequest vers un autre domaine que celui du site visité
- interdire l'accès via Dom au contenu de champ 'password'
- interdire l'accès aux cookies
- ...
encore une fois, un bon administrateur aura conscience de ces réalités, et aura pris soin de paramétrer le navigateur et les extensions "système"
après Mozilla ayant besoin de gagner des parts de marché, de telles politiques de sécurité avancée ne conviennent pas à un utilisateur lambda et il préfère laisser les geeks s'amuser... avec un outil qui est paramétrable et extensible à souhait, ce qui rend tout changement ultérieur douloureux
le seul véritable "reproche" qu'on pourrait exposer est qu'il n'existe, à ma connaissance, pas d'extension officielle offrant une console de sécurisation conviviale... un peu comme le pare-feu (mode non avancé) de Windows, ce serait déjà mieux que rien, et compréhensible par le commun des mortels
pour plus d'infos sur l'architecture des outils Mozilla en général
http://m-alexandre.developpez.com/ar.../presentation/
Non, pas corrigé par microsoft...
De mémoire c'était sous windows faille IPC, mais je ne me souviens plus, ca doit faire 5 ou 6 ans que j'avais discuté de ca avec eux.
Pour le reste, je maintient que plusieurs niveau d'accréditation serait pas mal. Exemple, une extension qui permet une recherche ou de donner la météo n'a pas besoin d'accéder aux données de l'utilisateur.
On peut même imaginer que les applications qui accèdent aux données sensibles ne puisse être installé sans alarme et autre avertissement que si elles sont approuvées par mozilla.
Autant installer une application de la mort qui tue ca motive les gens, autant le faire après 3 avertissements et une dérogation de sécurité(comme les sites HTTPS sans certificats valides) ca refroidit les gens.
houa c'est quoi ce classement on parle bien du navigateur le plus vulnérable je ne penses pas que ie soit le 2e plus sur navigateur tout simplement car vu qu'il y a à peu près les 2/3 des utilisateurs qui l'utilisent cela représente un plus grans nombres de personnes à """pirater""" donc c'est normal qu'il soit le plus vulnérable après AMHA je penses que cette boite a voulu se faire une bonne pub en allant à contre-courant.
Du coup, vaut mieux utiliser Amaya http://www.w3.org/Amaya/
La sécurité de Firefox victime de ses extensions
Sécurité : Firefox victime de ses extensions
Mozilla reconnaît avoir échoué à détecter des malwares dans la galerie d'add-ons officiels de son navigateur
En matière de sécurité, il existe deux types d'extensions pour Firefox : celles proposées sur le site officiel des add-ons et celles que l'utilisateur peut installer à ses risques et périls.
Une étude assez critiquée avait mis en avant le gros problème d'insécurité de ce deuxième type d'extensions qui peuvent sortir de nulle part (lire ci-avant).
Certes les auteurs étaient allés un peu loin en affirmant que le navigateur de Mozilla était le « plus vulnérable » mais ils avaient mis le doigt sur un gros point faible.
Aujourd'hui on apprend que ce ne sont pas des extensions officieuses mais bien des extensions du tronc officiel qui ont permis à un cheval de Troyes de pénétrer les machines de'utilisateurs de Firefox (NB : seul Windows est concerné).
Les deux add-ons incriminés s'appellent Sothink Web Video Downloader 4.0 et Master Filer.
On estime à 1.600 le nombre de personnes infectées. Mais ce chiffre de prend pas en compte ceux qui se ont pu se procurer les deux extensions via d'autre sources de téléchargement.
La menace reste donc assez limitée. Le faible chiffre s'explique par le fait que ces deux add-ons étaient catalogués dans comme « expérimentaux ». Elle met néanmoins à jour les failles du système de sécurité de Mozilla et de sa galerie d'extensions.
Chaque extension proposée sur le site de téléchargement officiel est soumis à un scan. Ce fut bien le cas de Sothink Web Video Downloader 4.0 et Master Filer mais les anti-virus de Mozilla n'avaient rien détecté de particulier.
« Les outils de scans ont échoué à détecter ce Trojan dans MasterFile. Deux autres outils de détection ont donc été ajoutés dans la chaine de validation et tous les add-ons ont été analysés à nouveau, ce qui a permis de révéler un autre Trojan dans la version 4.0 de Sothink Web Video Downloader. Aucune autre trace de malware n'a été découverte ».
Ce qui ne veut pas dire qu'il n'y en a pas...
Mozilla recommande de désinstaller Sothink Web Video Downloader 4.0 et Master Filer sur-le-champ, puis d'effectuer une analyse avec un anti-virus.
L'histoire ne dit pas si la Fondation enverra une message aux utilisateurs concernés ou si elle se contentera de communiquer sur son blog et sur des sites spécialisés.
MasterFile semble l'œuvre d'un développeur isolé. Quant à Sothink Web Video Downloader 4.0 il est le fruit du travail d'une entreprise tout à fait normale. Pour la Chine, s'entend.
Les version ultérieure de Sothink Web Video Downloader sont toujours disponibles sur le site de Mozilla.
Après, c'est à vous de voir.
Source : Le billet de Mozilla sur la découverte de la menace
Et vous ?
D'après vous, les extensions, qui ont fait le succès de Firefox, peuvent-elles lui être fatal avec les problèmes de sécurité qu'elles introduisent ?
C'est peut-être dur à mettre en place, mais rien ne vaut la vérification humaine des sources des add-ons mis à disposition.
Une simple analyse anti-virus automatique ne suffit pas.
Apparrement les add-ons étaient disponible depuis septembre 2009, dommage que les développeurs ainsi que la communauté d'utilisateurs n'ai rien vu.
Oui, et c'est bien là le point névralgique.C'est peut-être dur à mettre en place, mais rien ne vaut la vérification humaine des sources des add-ons mis à disposition.
Une simple analyse anti-virus automatique ne suffit pas
Apparrement les add-ons étaient disponible depuis septembre 2009, dommage que les développeurs ainsi que la communauté d'utilisateurs n'ai rien vu
D'habitude libre = ouvert = sécu... sauf que là, il semble qu'il n'y ait pas assez de monde pour regarder tout ça.
Ce qui pose la question de savoir si "trop d'extensions ne tuent pas les extensions" ?...
Tout simplement irréalisable. Tu imagines le travail que ça serait d'auditer le code de chaque extension? D'autant plus que ca serait certainement contournable en laissant des failles discrètes.C'est peut-être dur à mettre en place, mais rien ne vaut la vérification humaine des sources des add-ons mis à disposition.
Bah coder un nav en dotnet, avec chaque plugin isolé de l'hote dans un appdomainet zappé C++
Mise à jour :
Mozilla s'est trompée sur les extensions malicieuses de Firefox
Une seule serait effectivement un malware : comment sécuriser efficacement les add-ons ?
La Fondation Mozilla vient de faire savoir qu'elle avait commis une (grosse) erreur en accusant à tort une extension d'être un cheval de trois (lire ci-avant).
"Sothink Web Video Downloader 4.0" avait été qualifiée de malware après que la Fondation a décidé de scanner la totalité des add-ons proposés officiellement pour Firefox. Un scan plus poussé, lié à un changement d'antivirus, avait ainsi montré que cette extension, ainsi que Master Filer, cachaient des applications malicieuses.
Aujourd'hui, Mozilla fait machine arrière. Sothink Web Video Downloader serait une extension tout ce qu'il y a de plus normale.
"Nous avons travaillé avec des experts et des développeurs d'extensions qui ont déterminé que le Cheval de Troie que nous avions cru détecté dans la version 4.0 de Sothink Video Downloader était un faux positif et que l'extension ne contenait aucun malware" explique Mozilla sur son blog officiel.
A contrario, Master Filer - l'autre extension exclue de la galerie - contient bien un Trojan.
Un de bon, un de faux, donc.
Et toujours le même point faible pour la sécurité de Firefox.
Source : Le billet sue le blog de Mozilla
Et vous ?
Tout les concepts utilisés dans les navigateurs modernes (sandbox, séparation multiprocess, etc) sont possible en .NET. Mais il manque quelque chose de taille : un moteur de rendu.Bah coder un nav en dotnet, avec chaque plugin isolé de l'hote dans un appdomain
Là, il n'y a en gros que IE et Gecko que l'on peut utiliser, et ce sont des moteurs en C/C++ ...
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager