Une faille 0day dans Internet Explorer 8 attend un correctif depuis sept mois

Konrad a écrit :



Cela confirme donc ce qui a été dit sur d’autres news : si une faille n’est pas rendue publique, elle met beaucoup plus de temps avant d’être corrigée.









c’est également le cas sur les autres navigateurs.



Apple met parfois plus d’un an avant de corriger des failles critiques dans safari après leur correction dans Chrome/webkit.



et contrairement à ce que beaucoup pensent, c’est pas mieux chez Mozilla et Google. Typiquement les failles mettent entre 3mois et 10mois avant d’être corrigées.



tant qu’il n’y a pas d’exploit en liberté sur le web, les éditeurs de logiciels tous confondus prennent leur temps.



il y a cela dit une exception marketing à cette règle. Lors de concours de sécurité comme le pwn2own, les détails des failles ne sont pas divulguées publiquement, mais malgré cela google/mozilla font la course au premier qui patchera ses failles. Histoire de donner l’impression que tous les failles qu’on leur reporte sont patchées 24h après leur signalement. Quiconque jète régulièrement un coup d’oeil aux bulletins de sécurité en détail saura que c’est de la foutaise.

Delqvs a écrit :



Pourquoi EMET n’est pas installé par défaut sur toutes les Windows récents alors ?







EMET permet à MS d’expérimenter de nouvelles protections mémoire (ou d’autre nature) avant de les inclure éventuellement dans les futures versions de Windows.



pour le grand public, il n’y a aucun problème à utiliser EMET. Tous les navigateurs et plugins répandus sont compatibles EMET.



le problème c’est les entreprises. Si EMET casse le fonctionnement de plugins utilisés par 5% des utilisateurs pro, c’est un problème pour MS. Donc il est impossible d’imposer EMET à tous les utilisateurs de Windows



mais de plus en plus d’entreprises déploient EMET car ça fait partie des guidelines de base pour sécuriser un parc de machines Windows désormais.





Si tu es capable de répondre à cette question, je pense que tu comprendras le non-sens de ta dernière phrase.





si Windows avait 1% de pdm sur les stations de travail comme linux, ou 6% de pdm comme osx, MS pourrait se permettre de déployer via WU les technologies à la base de EMET pendant le cycle de vie de Windows.



le fait est que même sans EMET, Windows est aussi sécurisé que ses concurrents.



mais vu ses PDM, Windows/IE sont plus souvent pris pour cible lors d’attaques ciblées, si bien qu’une protection comme EMET est très appréciable pour les grosses entreprises et les administrations susceptibles d’être pris pour cible.



pour les utilisateurs lambda qui tournent sur des versions récentes de Windows, le fait de ne pas avoir EMET n’en fait pas pour autant des cibles faciles.



ça fait très longtemps qu’il n’y a pas eu d’exploit 0day capable d’infecter une version récente d’IE.



pour info, même le 0day du mois dernier ne permettait pas d’infecter des machines car il ne contournait pas la sandbox d’IE sous vista/7/8. (et en plus cette fameuse faille n’etait pas exploitée contre des utilisateurs lambda).



bref, la presse adorer critiquer MS et IE à tort, mais dans les faits, MS n’a pas à rougir de son bilan de sécurité.

psn00ps a écrit :



Wine a de quoi lire/écrire partout où l’utilisateur a accès par unixfs et peut exécuter des commandes arbritaires par divers moyens.

Wine n’est en aucun cas une sandbox.









en même temps la plupart des linuxiens sont persuadés que linux ne peut pas choper de malware…

alors où est le risque d’executer du warez via wine?

exécuter du code malveillant en user sur linux? Impossible, le malware va forcement demander gentiment à l’utilisateur l’autorisation d’infecter le profil

/s

Konrad a écrit :



J’ai souvent lu cette théorie aussi, en revanche je n’ai jamais rien vu qui l’étaye. Alors oui, l’exemple le plus évident c’est “Windows très utilisé et très attaqué” contre “Linux très peu utilisé et très peu attaqué”. Mais est-ce que ça suffit à en faire une généralité ?







une théorie qui s’est vérifié dans le monde des OS mobiles.



Android est un linux. Il est même plus sécurisé qu’un linux desktop car sa sandbox offre une protection qui n’existe pas sur les distribs desktop.



malgré cela, il y a beaucoup de malwares sur Android, y compris des rootkits qui élèvent leur privilège en root.



en comparaison, il y a beaucoup moins de malwares ciblant linux desktop malgré le fait que ces systèmes sont moins protégés.

(une appli installée par l’utilisateur n’a aucune restriction et peut faire beaucoup de dégâts, même en utilisateur non root)





Il y a un exemple où c’est exactement l’inverse : celui des serveurs Web. Selon cette étude de l’institut SANS, les attaquants préfèrent s’attaquer à un Microsoft IIS qu’à un serveur Apache (page 12). Quand les headers sont cachés les deux sont attaqués de la même façon. Étrange non, alors que Apache a davantage de parts de marchés que IIS ? Ça ne colle pas tellement avec la théorie “le plus utilisé est le plus attaqué”…





l’étude Sans que tu cites ne fait que comptabiliser les tentatives d’attaques par des bots. Elle ne tient pas compte du nombre de failles ou d’attaques réussies.



typiquement, les bots cherchent à exploiter des failles vieilles de plusieurs années sur des serveurs qui n’ont jamais été patchés.



au contraire, je dirai même que coté serveur Windows est moins problématique que linux.



ces dernières années Windows Server, IIS, SQL server, asp.net ont eu relativement peu de failles critiques comparé à apache, php, mysql.



d’ailleurs, ces dernières années il y a eu de nombreuses mystérieuses infections de serveurs linux, y compris kernel.org qui s’est fait hacker, et plusieurs années plus tard on ne sait toujours pas pourquoi.



http://arstechnica.com/security/2014/03/10000-linux-servers-hit-by-malware-servi…



http://arstechnica.com/security/2013/09/who-rooted-kernel-org-servers-two-years-…



la dernière fois que Windows serveur a eu ce type de soucis remonte à une dizaine d’années.



et encore à l’époque c’était pas dû a des failles 0day, mais à de mauvaises pratiques de sécurisé (mdp admin que sql serveur n’obligeait pas l’utilisateur à changer,…) ou au fait que les admins ne patchaient pas les serveurs.



sinon pour les pdm:

http://news.netcraft.com/archives/2014/02/03/february-2014-web-server-survey.htm…



32% pour IIS

38% pour apache.



c’est pas la même chose que 1% de linux sur le desktop et 93% de Windows.



Windows sur serveur a suffisamment de PDM pour être une cible très attractive.

Konrad a écrit :



Oui, 158 < 214.

De même que 86 < 290.

Après c’est vrai que les maths c’est pas une science exacte, chacun est libre d’y croire ou pas…



Évidemment que c’est le même ordre de grandeur, il n’y a pas un facteur 10 ou 100 sinon il faudrait se poser des questions. Mais il y a un facteur 1,4 à 3,3, et il faut vraiment être dans le déni pour ne pas l’accepter.







je ne nie pas que MS est plus long à patcher. Mais au final ces patchs ne portent pas sur des failles 0day exploitées en liberté.



donc concrètement que MS prenne 30% de temps en plus que Mozilla ne rend pas ses utilisateurs plus vulnérables, surtout si au final il y a moins de failles.



de plus, IE contrairement à Firefox a une sandbox, ce qui rend ses utilisateurs sous vista/7/8 moins vulnérables que ceux sous Firefox si jamais une faille devient exploitée en liberté.



au final, le temps pour patcher une faille n’a aucune signification quand on voit que bon nombre d’attaques 0day sont ciblées contre des grosses entreprises et des agences gouvernementales:

même si un éditeur est rapide à patcher, il ne peut pas patcher des failles dont il n’a pas connaissance.



la meilleure solution c’est de proposer d’avantage de technologies pour réduire l’impact des 0day utilisées lors d’attaques ciblées: sandbox, EMET,…





Tu disais «les autres éditeurs ne font pas mieux que Microsoft». Sur la sécurité des navigateurs, si.





Seconde étape : tu trouves des excuses à Microsoft.



Tu noteras que j’ai aussi dit que Firefox avait davantage de failles que IE ; et même davantage de failles critiques. Pourtant tu n’as pas donné d’excuse à Mozilla ? Pourtant ce ne sont pas les raisons qui manquent. Par exemple tu aurais pu dire que Mozilla doit supporter beaucoup plus de plates-formes : Windows (XP, Vista, 7, 8), Apple OS X et iOS, GNU/Linux, Android… Sans compter Firefox OS bien sûr. Internet Explorer est sur quelles plates-formes déjà ? Ah oui, Windows et… C’est tout. Il y a aussi le fait que Mozilla est une fondation, et a beaucoup moins de moyens que Microsoft.





la plupart des failles dans Firefox sont situées dans du code qui est le même sur toutes les plateformes.



je ne pense pas que le fait de supporter plusieurs OS ait considérablement augmententé ce nombre de failles.





et si, IE est multiplateforme:

Windows ARM, x86, x64, IA64

Xbox (powerpc)

Windows Phone





Mais non, tu as juste chercher à minimiser le fait que Microsoft met beaucoup plus de temps à patcher que Mozilla.



C’est comme tes 60% de parts de marché pour Internet Explorer : tu affabules et refuses de voir la réalité des chiffres dès que ça implique Microsoft.





J’aime bien «il faut arrêter le sensationnalisme» et deux lignes plus loin tu parles de chercheurs en sécurité qui vendent des exploits à la NSA " /> Tout ça toujours sans la moindre source d’information bien sûr.



FUD et théorie du complot… Quelle argumentation en béton " />





indice: cherche Vupen sur Google.

c’est une société française qui crée des exploits destinés à être vendus au prix fort aux agences gouvernementales. NSA, mais pas seulement.



ça n’a rien d’une théorie du complot. C’est un gros business semi legal qui implique de nombreuses sociétés.







Oui, il y a davantage de malwares sur Android que sur Windows Phone. Les chiffres sont là, t’as vu, j’accepte les chiffres, je ne suis pas dans le déni (pourtant j’ai un smartphone Android).



Mais ajouter un exemple où ça marche, ne suffit pas à valider une théorie.







C’est de très mauvaise foi, le nombre d’attaque a peu à voir avec les parts de marché du mois dernier. Tu oublies de mentionner que pendant plus de 15 ans, Apache a flirté avec les 60-70% de parts de marché, contre 20-30% pour Microsoft IIS.





le nombre n’exploits et d’attaques n’est pas proportionnel aux pdm.



mais il y a un seuil en dessous duquel personne ne s’intéresse à chercher des failles dans un produit.



autre exemple:

chrome. Pendant des années il flirtait autour de 5% de pdm et il n’avait jamais fait l’objet d’attaques. Depuis qu’il a dépassé 10% il fait l’objet d’attaques à chaque concours de sécurité.

Konrad a écrit :



On est au moins d’accord là-dessus.







oui.

mais les PDM ont tout de même une influence puisqu’il faut qu’un produit atteigne un certain seuil de popularité (variable selon la nature du produit) pour que les hackers s’y intéressent réellement.



linux sur le desktop n’a pas atteint ce seuil.



un exemple intéressant: Silverlight, installé sur 50% des machines n’a jamais souffert d’aucune faille 0day à ma connaissance (il y a cependant des exploits pour des failles corrigées)



Contrairement à flash player ( installé sur 95% des machines desktop) qui est souvent attaqué.



de toute évidence, pour que les hackers recherchent des failles 0day à exploiter dans Silverlight, il faudrait qu’il soit aussi “intéressant” que flash pour les chercheurs de failles en terme de retour sur investissements.



à difficulté égale, mieux vaut chercher des failles dans Flash que dans Silverlight. Du coup, les statistiques de sécurité de Silverlight sont excellentes comparé à Flash, alors qu’il s’agit de deux produit d’une complexité similaire et qui devraient avoir un nombre de faille assez élevé l’un comme l’autre.



je veux bien croire que le code de SL soit meilleur que celui de Flash. Mais pas à ce point.