Microsoft corrigera ce soir plusieurs failles d’Internet Explorer déjà exploitées

Des attaques particulièrement bien pensées

Alors que Microsoft a déjà dû réagir rapidement sur une faille touchant plusieurs produits, la firme fait face à une autre situation problématique avec plusieurs brèches dans Internet Explorer, déjà exploitées à grande échelle à l’heure actuelle. Même si le correctif sera déployé ce soir, les attaques ont déjà fait des dégâts.

Internet Explorer 11 dans Windows 8.1 n'est pas touché

Une faille critique pour plusieurs versions du navigateur

Les chercheurs de FireEye ont découvert plusieurs failles critiques déjà exploitées dans Internet Explorer. Les versions concernées vont de la 7 à la 10, affectant ainsi cinq systèmes d’exploitation : Windows XP, Vista, Windows 7, Windows 8 et Windows RT. Différentes de la faille déjà présente dans certains produits tels qu’Office, Lync et Vista, elles sont pourtant déjà exploitées activement.

Selon FireEye, ces failles sont associées pour permettre des attaques relativement élaborées. Une faille permet ainsi d’obtenir un certain contrôle sur la mémoire centrale tandis qu’une seconde autorise l’attaquant à obtenir des informations depuis cette mémoire. L’assemblage des deux brèches est effectif sur Windows XP à 7, ce qui signifie, puisque l’on parle d’Internet Explorer, que les protections mises en place dans Vista et accentuées dans Windows 7 sont contournées. En outre, bien que les attaques visent a priori la version anglaise du navigateur, FireEye estime qu’elles pourraient très facilement être adaptées pour prendre en compte d’autres langues.

Des attaques plus sophistiquées que prévu

Mais si les premières informations faisaient déjà état vendredi d’attaques relativement perfectionnées, de nouvelles publiées dimanche indiquent que le niveau de technicité est supérieur à ce qui avait été estimé. Ainsi, les auteurs ont intégré un code exploitant les failles au sein d’un site américain particulièrement fréquenté et attirant les internautes intéressés par les politiques de sécurité nationale et internationale.

Plusieurs points importants sont ainsi à souligner. Les attaques sont pilotées par plusieurs serveurs C&C (Command & Control) qui ont déjà été utilisés dans une campagne d’attaques connue sous le nom d’opération « DeputyDog ». Les malwares utilisés ne sont pas neufs non plus, mais des variantes de plusieurs ayant déjà été rencontrés ailleurs : Hydraq, McRat et Trojan.APT.9002. Elles ont d’ailleurs la particularité d’être uniquement résidants en mémoire et de ne jamais s’écrire sur le disque dur.

Les protections d'Internet Explorer et de Windows contournées

Pour FireEye, l’attaque est particulièrement « furtive » et est la preuve du talent de ses auteurs. La preuve ? Le fait que ces mêmes auteurs aient pu traverser certaines défenses. Pour la société de sécurité, il se pourrait bien que ces failles aient été découvertes depuis un certain temps car l’attaque montre qu’elle a soigneusement été préparée depuis longtemps. Les compétences des pirates sont élevées puisqu’ils ont été capables d’utiliser un réseau de plusieurs failles pour contourner des protections considérées comme fortes.

Microsoft est en fait nécessairement au courant de la situation depuis au moins plusieurs semaines. En effet, les failles utilisées par les attaquants dans Internet Explorer seront corrigées ce soir dans le lâché mensuel de correctifs via Windows Update. Elles correspondent au bulletin 3 publié mardi dernier (Microsoft publie certaines informations sur ses bulletins une semaine avant leur arrivée) et qui concerne de nombreux Windows, y compris Windows RT. On remarquera qu'Internet Explorer 11 n'est pas concerné, et ceux qui ont effectué la mise à jour Windows 8.1 ne sont donc pas touchés, ainsi que ceux qui ont déjà installé le nouveau navigateur sous Windows 7. En outre, bien que le correctif concerne Internet Explorer 10, aucune exploitation des failles sur cette version en particulier n'a été recensée.

FireEye note que l’installation du kit EMET (Enhanced Mitigation Experience Toolkit) de Microsoft permet effectivement de bloquer l’exploitation des failles. L’efficacité est totale si l’on modifie deux comportements d’Internet Explorer : les zones Internet et Intranet local doivent être placées en sécurité haute, et il faut activer la demande systématique avant d’exécuter tout contenu Active Scripting ou contrôle ActiveX.

Commentaires (98)

WereWindle

Le 12/11/2013 à 10h 10

bon bah je me mets un post it pour re vérifier WSUS demain (quand je pense que j’ai approuvé les dernières MàJ y a 15 minutes >.<

maestro321

Le 12/11/2013 à 10h 15

Ainsi, les auteurs ont intégré un code exploitant les failles au sein d’un site américain particulièrement fréquenté et attirant les internautes intéressés par les politiques de sécurité nationale et internationale.

Bha oui, surveiller ceux qui s’intéressent de trop près à la sécurité du pays. Quel hasard." />

Chloroplaste

Question sûrement naïve:

Les entreprises sont-elles autant exposées que les particuliers par ce type de menaces ?

Fallait-il obligatoirement consulter le site en question pour être ciblé ?

Shuffle Bot

Le 12/11/2013 à 10h 16

Sans être paranos ça pue le sniffer de la NSA tout ça… on laisse des back door et de temps en temps on corrige une faille “critique” quand elle est exposée au grand public… avant d’en laisser une autre." />

sniperdc

Le 12/11/2013 à 10h 17

Meilleur patch un autre navigateur web

Anonyme_f7d8f7f164fgnbw67p

Le 12/11/2013 à 10h 18

Du coup, Internet Explorer porte bien son nom : c’est internet qui explore ton PC !

" /> " />

trash54

Le 12/11/2013 à 10h 19

sniperdc a écrit :

Meilleur patch un autre navigateur web

en étant sur qu’il est plus troué hein

Lafisk

Le 12/11/2013 à 10h 23

sniperdc a écrit :

Meilleur patch un autre navigateur web

Celui qui est un cheval de Troie, le plus gros jamais vu, en lui même tu veux dire " /> ?

Emralegna

Le 12/11/2013 à 10h 25

D’ailleurs je me posais une question : lorsqu’on active la protection avancée dans les options avancée du navigateur, IE ne se connecte plus du tout à aucun site sur Internet, du coup je me demandais à quoi pouvait bien servir cette option (contrairement à celle dans l’onglet Sécurité). Quelqu’un sait ?

La Loutre

Le 12/11/2013 à 10h 29

#10

Normal que de mon côté, Windows m’aie proposé seulement l’install de IE 11 ce matin ?? " />

Anonyme

Le 12/11/2013 à 10h 32

#11

Lafisk a écrit :

Celui qui est un cheval de Troie, le plus gros jamais vu, en lui même tu veux dire " /> ?

Ou un navigateur performant, mutli-OS et libre " />

Le 12/11/2013 à 10h 34

#12

ff9098 a écrit :

Ou un navigateur performant, mutli-OS et libre " />

Y’en a una utre pour ça qui n’est pas un cheval de troie " />

sepas

Le 12/11/2013 à 10h 37

#13

ff9098 a écrit :

Ou un navigateur performant, mutli-OS et libre " />

Ca va recommencer avec les affirmations que le libre n’a pas de failles?

Naïveté ou Troll? A toi de choisir

cid_Dileezer_geek

#14

Lafisk a écrit :

Celui qui est un cheval de Troie, le plus gros jamais vu, en lui même tu veux dire " /> ?

Il parle de firefox, pas chrome, regarde l’image de son pseudo." />

d’ailleurs moi aussi j’utilise firefox, IE est le navigateur que je n’arrête pas de déconseiller à ma famille, et malgré mes efforts ils reviennent régulièrement se faire désinfecter leur PC et se faire engueuler car ils continuent d’utiliser cette passoire d’IE.

Le 12/11/2013 à 10h 42

#15

sepas a écrit :

Ca va recommencer avec les affirmations que le libre n’a pas de failles?

Naïveté ou Troll? A toi de choisir

La question n’est pas de savoir s’il y a des failles, mais de savoir si elles sont nombreuses, volontaires, exploitables/exploitées, visibles, et rapidement corrigées lorsqu’elles sont découvertes.

Et sans faire de troll, Firefox est le mieux placé de mon point de vue (et ça me semble un avis partagé par beaucoup içi, et le libre y joue un rôle certain).

SEBCOCOON

#16

cid_Dileezer_geek a écrit :

Il parle de firefox, pas chrome, regarde l’image de son pseudo." />

d’ailleurs moi aussi j’utilise firefox, IE est le navigateur que je n’arrête pas de déconseiller à ma famille, et malgré mes efforts ils reviennent régulièrement se faire désinfecter leur PC et se faire engueuler car ils continuent d’utiliser cette passoire d’IE.

Marrant de voir que pour toi le problème est IE et non l’utilisateur… problème chaise-clavier tu connais???

ExIcarus

Le 12/11/2013 à 10h 43

#17

cid_Dileezer_geek a écrit :

Il parle de firefox, pas chrome, regarde l’image de son pseudo." />

d’ailleurs moi aussi j’utilise firefox, IE est le navigateur que je n’arrête pas de déconseiller à ma famille, et malgré mes efforts ils reviennent régulièrement se faire désinfecter leur PC et se faire engueuler car ils continuent d’utiliser cette passoire d’IE.

Quand un utilisateur ne sait pas se servir d’une clé à molette et défonce complètement le moteur , qui est à blamer ? la clé à molette ou l’utilisateur?

A bon entendeur … " />

#18

maestro321 a écrit :

La question n’est pas de savoir s’il y a des failles, mais de savoir si elles sont nombreuses, volontaires, exploitables/exploitées, visibles, et rapidement corrigées lorsqu’elles sont découvertes.

Et sans faire de troll, Firefox est le mieux placé de mon point de vue (et ça me semble un avis partagé par beaucoup içi).

+1

Four FF, c’est la conjonction de l’opensource et d’une communauté large et très active…

chaps

#19

ff9098 a écrit :

Ou un navigateur performant, mutli-OS et libre " />

Lynx ?

Snakeseater

#20

WereWindle a écrit :

bon bah je me mets un post it pour re vérifier WSUS demain (quand je pense que j’ai approuvé les dernières MàJ y a 15 minutes >.<

A tiens, ça me fait penser que je dois en recréer un sur un autre serveur…

Tout ça parce qu’il a défoncé la config de canon uniflow… " />

Sebdraluorg

Le 12/11/2013 à 10h 44

#21

cid_Dileezer_geek a écrit :

Il parle de firefox, pas chrome, regarde l’image de son pseudo." />

d’ailleurs moi aussi j’utilise firefox, IE est le navigateur que je n’arrête pas de déconseiller à ma famille, et malgré mes efforts ils reviennent régulièrement se faire désinfecter leur PC et se faire engueuler car ils continuent d’utiliser cette passoire d’IE.

Pas mal ça " />

Regarde les chiffres sur le nombre de failles recensées par navigateur par années, tu verras que ta famille est plus en sécurité que toi ;-)

Une faille dans IE fait plus de bruit, car elle inpacte plus les entreprises et que Ms fait des communiqués qui sont bien plus relayés que les failles dans les produits libres, mais il ne faut pas en déduire qu’il y a plus de faille ou qu’elles sont plus importantes pour la cause !

D’ailleurs c’est par Firefox que la NSA exploite le plus… " />

Le 12/11/2013 à 10h 45

#22

SEBCOCOON a écrit :

Marrant de voir que pour toi le problème est IE et non l’utilisateur… problème chaise-clavier tu connais???

D’après cette news, c’est plus qu’un problème de bonne ou mauvaise utilisation.

Le 12/11/2013 à 10h 48

#23

maestro321 a écrit :

La question n’est pas de savoir s’il y a des failles, mais de savoir si elles sont nombreuses, volontaires, exploitables/exploitées, visibles, et rapidement corrigées lorsqu’elles sont découvertes.

Et sans faire de troll, Firefox est le mieux placé de mon point de vue (et ça me semble un avis partagé par beaucoup içi, et le libre y joue un rôle certain).

J’ai mis en gras le point le plus important de ton post. Les légendes urbaines ont la vie dure…

Je te laisse lire cet article :http://www.pcinpact.com/news/78325-secunia-verifiez-vos-logiciels-tiers-et-moins…

Le 12/11/2013 à 10h 52

#24

sepas a écrit :

J’ai mis en gras le point le plus important de ton post. Les légendes urbaines ont la vie dure…

Je te laisse lire cet article :http://www.pcinpact.com/news/78325-secunia-verifiez-vos-logiciels-tiers-et-moins…

Comme dit dans mon poste (et dans le lien que tu donnes) ce n’est pas la taille qui compte…

Le 12/11/2013 à 10h 53

#25

ff9098 a écrit :

Ou un navigateur performant, mutli-OS et libre " />

Firefox est quand même le plus lent de tous les navigateurs, que ce soit à l’exécution du programme qu’à l’ouverture des pages. Beaucoup parlent aussi de l’utilisation en mémoire. Défile un peu la page des news de PCi et tu verras à quel point ça saccade…

En fait, ça ne marche pas car ça arrête de proposer des news au profit d’un bouton qui recharge la page en affichant les anciennes.

Le 12/11/2013 à 10h 56

#26

sepas a écrit :

J’ai mis en gras le point le plus important de ton post. Les légendes urbaines ont la vie dure…

Je te laisse lire cet article :http://www.pcinpact.com/news/78325-secunia-verifiez-vos-logiciels-tiers-et-moins…

" />

Faut aussi se demander ce qu’on veut vraiment, une boite qui admet ouvertement que son navigateur a des failles et les corriges dès qu’elle peut ou une autre qui corrige ses failles , sans prevenir les utilisateurs et les montre dans le patch note des futurues versions…http://www.mozilla.org/security/known-vulnerabilities/firefox.html

Glyphe

Le 12/11/2013 à 10h 59

#27

Sebdraluorg a écrit :

Pas mal ça " />

Regarde les chiffres sur le nombre de failles recensées par navigateur par années, tu verras que ta famille est plus en sécurité que toi ;-)

Une faille dans IE fait plus de bruit, car elle inpacte plus les entreprises et que Ms fait des communiqués qui sont bien plus relayés que les failles dans les produits libres, mais il ne faut pas en déduire qu’il y a plus de faille ou qu’elles sont plus importantes pour la cause !

D’ailleurs c’est par Firefox que la NSA exploite le plus… " />

la même rengaine, encore et encore …

La libre a ceci de paradoxal que le nombre de failles et les rapports de sécurité sont publiés et publiques, tout comme le code. Ce qui amène en effet à une plus grande corrections de bugs et de failles. Mais ça ne veut absolument pas dire que c’est le navigateur le moins fiable ou le plus “troué”.

Personnellement je fais bien plus confiance dans la fondation Mozilla concernant la transparence et la sécurité que dans Microsoft …

Le 12/11/2013 à 11h 00

#28

sepas a écrit :

J’ai mis en gras le point le plus important de ton post. Les légendes urbaines ont la vie dure…

Je te laisse lire cet article :http://www.pcinpact.com/news/78325-secunia-verifiez-vos-logiciels-tiers-et-moins…

Vu la méthode utilisée…

Selon Secunia, ce ne sont pas moins de 9776 failles qui ont été détectées en 2012 sur 2503 applications. L’entreprise a isolé les 50 plus populaires et en a déterminé un chiffre important : 86 % des failles ne sont pas situées dans les produits Microsoft. Il s’agit d’une augmentation plus que significative vis-à-vis de 2011 puisque ce chiffre était de 78 %. Il y a cinq ans, il n’était même que de 57 %.

En gros il y a 9776 failles qui touchent n produits, eux(sécunia) décident de n’en garder que 50 et oh, miracle, Microsoft est sorti du bois, quand aux 9726 failles restantes, on ne sait rien sur elles, qui elles touchent avec quelle gravité etc.. bref… " />

Bill2

Le 12/11/2013 à 11h 02

#29

Et puis bon, quand les users ont FF et que leur PC continue d’être une vraie poubelle, c’est aussi la faute d’IE ?

Les logiciels à la con installés à droite et à gauche et qui viennent avec des spywares n’ont pas besoin d’IE pour foutre la merde … c’est juste un pb chaise/clavier.

Le 12/11/2013 à 11h 07

#30

cid_Dileezer_geek a écrit :

Vu la méthode utilisée…

En gros il y a 9776 failles qui touchent n produits, eux(sécunia) décident de n’en garder que 50 et oh, miracle, Microsoft est sorti du bois, quand aux 9726 failles restantes, on ne sait rien sur elles, qui elles touchent avec quelle gravité etc.. bref… " />

Tu veux dire que Secunia est arrangeant avec Microsoft? Euh…Tu les connais? Tu sais pourquoi ils sont devenus si connus?

Le 12/11/2013 à 11h 12

#31

Glyphe a écrit :

la même rengaine, encore et encore …

La libre a ceci de paradoxal que le nombre de failles et les rapports de sécurité sont publiés et publiques, tout comme le code. Ce qui amène en effet à une plus grande corrections de bugs et de failles. Mais ça ne veut absolument pas dire que c’est le navigateur le moins fiable ou le plus “troué”.

Personnellement je fais bien plus confiance dans la fondation Mozilla concernant la transparence et la sécurité que dans Microsoft …

Huhu, c’est toi qui parle de “meme rengaine” ? Sérieux ?

C’est vous qui venez encore la ramener avec votre “IE c une passware”, en attendant les chiffres des sociétés spécialisées disent le contraire…

Chrome a eu plus de failles critiques à lui tout seul que l’ensemble des produits Ms pour Windows….

Et Firefox est loin d’être le plus avancé en matière de sanboxing…

Bref, IE est clairement mieux sécurisé que les autres a un point que les comparer devient presque ridicule et en dit long sur vos “connaissances”

Le 12/11/2013 à 11h 14

#32

Emralegna a écrit :

D’ailleurs je me posais une question : lorsqu’on active la protection avancée dans les options avancée du navigateur, IE ne se connecte plus du tout à aucun site sur Internet, du coup je me demandais à quoi pouvait bien servir cette option (contrairement à celle dans l’onglet Sécurité). Quelqu’un sait ?

IE est totalement intégré à Windows mais pas forcément utile sur toutes les machines (un serveur, par exemple, peut n’avoir qu’à ce connecter au LAN et jamais en http). C’est un moyen de l’inhiber à défaut de pouvoir le désinstaller.

Le 12/11/2013 à 11h 15

#33

sepas a écrit :

Tu veux dire que Secunia est arrangeant avec Microsoft? Euh…Tu les connais? Tu sais pourquoi ils sont devenus si connus?

Non je dis que leur méthode est sujette à cautions, ne tenir compte que d’une petite partie des problèmes en disant “ce sont les plus populaires”, déjà je ne savais pas qu’il y avait un concours de popularités des failles " /> de plus ils ne précisent rien sur les toutes les failles qu’ils ont écartées.

Mais bon, je ne t’empêche pas d’utiliser IE, tu fais ce que tu veux.

Le 12/11/2013 à 11h 16

#34

Sebdraluorg a écrit :

Huhu, c’est toi qui parle de “meme rengaine” ? Sérieux ?

C’est vous qui venez encore la ramener avec votre “IE c une passware”, en attendant les chiffres des sociétés spécialisées disent le contraire…

Chrome a eu plus de failles critiques à lui tout seul que l’ensemble des produits Ms pour Windows….

Et Firefox est loin d’être le plus avancé en matière de sanboxing…

Bref, IE est clairement mieux sécurisé que les autres a un point que les comparer devient presque ridicule et en dit long sur vos >

Un tu m’accuses d’avoir dit une chose que je n’ai pas dit. C’est déjà discutable sur la méthode, j’ai personnellement réagit à ce que TU disais, pas ce que les autres disaient.

Ensuite, les boites spécialisées comme tu dis, sont des boites privées qui ont un énorme intérêt dans le fait de rendre tout le monde paranoïaque. Leur études sur les softwares sont rarement correctes niveau méthodologie soit dit en passant.

Je vais enfin terminer par la phrase la plus drôle du jour :

Bref, IE est clairement mieux sécurisé que les autres

" />

Le 12/11/2013 à 11h 17

#35

cid_Dileezer_geek a écrit :

Non je dis que leur méthode est sujette à cautions, ne tenir compte que d’une petite partie des problèmes en disant “ce sont les plus populaires”, déjà je ne savais pas qu’il y avait un concours de popularités des failles " /> de plus ils ne précisent rien sur les toutes les failles qu’ils ont écartées.

Mais bon, je ne t’empêche pas d’utiliser IE, tu fais ce que tu veux.

Donc en fait ces gens là ne connaissent pas leur métier et ne savent donc pas ce qui est comparable ou pas, contrairement à toi ?

C’est bien ça ? " />

#36

Sebdraluorg a écrit :

Huhu, c’est toi qui parle de “meme rengaine” ? Sérieux ?

C’est vous qui venez encore la ramener avec votre “IE c une passware”, en attendant les chiffres des sociétés spécialisées disent le contraire…

Chrome a eu plus de failles critiques à lui tout seul que l’ensemble des produits Ms pour Windows….

Et Firefox est loin d’être le plus avancé en matière de sanboxing…

Bref, IE est clairement mieux sécurisé que les autres a un point que les comparer devient presque ridicule et en dit long sur vos “connaissances”

Et cette news te précise que la fameuse sandbox d’IE a été rendue inutile, tu pisse contre le vent, à force tu va être éclaboussé.

DarKCallistO

Le 12/11/2013 à 11h 18

#37

Microsoft corrigera ce soir plusieurs failles d’Internet Explorer déjà exploitées

Toute ? Non,une faille résiste toujours a l’administrateur système,elle se trouve dans un petit mégaoctet d’espace disque remplie d’irréductible backdoor.

Générique

" />

#38

Glyphe a écrit :

Un tu m’accuses d’avoir dit une chose que je n’ai pas dit. C’est déjà discutable sur la méthode, j’ai personnellement réagit à ce que TU disais, pas ce que les autres disaient.

Ensuite, les boites spécialisées comme tu dis, sont des boites privées qui ont un énorme intérêt dans le fait de rendre tout le monde paranoïaque. Leur études sur les softwares sont rarement correctes niveau méthodologie soit dit en passant.

Je vais enfin terminer par la phrase la plus drôle du jour :

" />

Toi aussi tu es un expert bien plus avancé que chez secunia " />

Le 12/11/2013 à 11h 19

#39

Sebdraluorg a écrit :

Donc en fait ces gens là ne connaissent pas leur métier et ne savent donc pas ce qui est comparable ou pas, contrairement à toi ?

C’est bien ça ? " />

reviens discuter quand t’auras appris à lire. " />

#40

WereWindle a écrit :

IE est totalement intégré à Windows mais pas forcément utile sur toutes les machines (un serveur, par exemple, peut n’avoir qu’à ce connecter au LAN et jamais en http). C’est un moyen de l’inhiber à défaut de pouvoir le désinstaller.

Merci. " />

Il me semble que ce n’était que sur XP cette histoire d’impossibilité de le désinstaller. J’ai bien la possibilité de le virer dans Ajout et Suppression de Programmes, puis dans Activer/Désactiver des fonctionnalités de Windows dans la barre à gauche (pas certain que ce soit vraiment ça en français dans le texte).

Le 12/11/2013 à 11h 21

#41

cid_Dileezer_geek a écrit :

Et cette news te précise que la fameuse sandbox d’IE a été rendue inutile, tu pisse contre le vent, à force tu va être éclaboussé.

Relis ce que j’ai dit, tu verras que ce n’est absolument pas incompatible ;-)

Je n’ai jamais dis que le système de sanboxing d’IE était parfait…

Le 12/11/2013 à 11h 23

#42

cid_Dileezer_geek a écrit :

reviens discuter quand t’auras appris à lire. " />

" /> ça passe pas ce genre de phrase bateau quand on a plus rien à dire…

" />

#43

cid_Dileezer_geek a écrit :

Et cette news te précise que la fameuse sandbox d’IE a été rendue inutile, tu pisse contre le vent, à force tu va être éclaboussé.

Ben comme tout programme aucun est infaillible et ça va être corrigé ; n’empêche, c’est un niveau de sécurité que ne propose pas le soit disant modèle qui, d’après moi, l’était surtout du temps de Windows XP et plus forcément avec les versions récentes d’IE (du moins la dernière).

Le 12/11/2013 à 11h 27

#44

Emralegna a écrit :

Ben comme tout programme aucun est infaillible et ça va être corrigé ; n’empêche, c’est un niveau de sécurité que ne propose pas le soit disant modèle qui, d’après moi, l’était surtout du temps de Windows XP et plus forcément avec les versions récentes d’IE (du moins la dernière).

Non seulement la correction est faite, mais IE 11 n’est pas inpacté, donc ce problème n’est plus, contrairement à toutes les failles qui continues d’être découvertes chaque jour dans Chrome et FF…

#45

Emralegna a écrit :

Merci. " />

Il me semble que ce n’était que sur XP cette histoire d’impossibilité de le désinstaller. J’ai bien la possibilité de le virer dans Ajout et Suppression de Programmes, puis dans Activer/Désactiver des fonctionnalités de Windows dans la barre à gauche (pas certain que ce soit vraiment ça en français dans le texte).

Possible oui (je ne le vois pas ni dans ajout/suppr de programme, ni dans les fonctionnalités sur 2008r2, en revanche on voit effectivement ie9 sur win7 à ce même endroit " />)

(autre possibilité) Peut-être est-ce une survivance de version précédente ?

Vu qu’on obtient une belle interface Excel 7 dans SQL Server 2008 quand on appelle un pilote ODBC, on peut s’attendre à tout en matière de nécromancie informatique " />

jmanici

Le 12/11/2013 à 12h 08

#46

Les versions concernées vont de la 7 à la 10, affectant ainsi cinq systèmes d’exploitation : Windows XP, Vista, Windows 7, Windows 8 et Windows RT.

precision importante: la faille n’est exploitée que sous IE8 sous XP, et sous IE9 sous win7.

bien que la faille existe dans IE10, les hackers n’ont pas réussi à l’exploiter sur cette version, à priori. Lors de la dernière faille IE il y a deux mois c’était pareil, IE10 n’a pas pu être ciblé grâce à la protection mémoire ForceASLR qui empêche les méthodes classiques de contournement de ASLR de fonctionner.

Le 12/11/2013 à 12h 23

#47

Et cette news te précise que la fameuse sandbox d’IE a été rendue inutile, tu pisse contre le vent, à force tu va être éclaboussé.

la firme qui a découvert cet exploit n’a pas parlé d’un contournement de sandbox. Je ne sais pas d’où PCI sort cette info.

pour rappel, la sandbox de vista/ie7 (utilisée jusqu’à win7) ne protège que contre les accès disque en écriture (la lecture reste autorisée). La sandbox intégrée à IE10 sous win8 empêche désormais aussi la lecture et l’accès au LAN.

le malware dont il est question ici reste en mémoire vive pour rester indétectable et disparait après fermeture de session. Il n’a donc pas besoin de sortir de la sandbox pour faire du vol d’information.

cela dit, la sandbox de vista a déjà été contournée, tout comme celle de chrome. Un contournement est possible en cas de faille, mais au moins ça rajoute de la difficulté pour les créateurs d’exploits.

Muzikals Abonné

Le 12/11/2013 à 12h 50

#48

Et dire que je suis passé à IE11 hier soir grâce à Windows Update après plusieurs années sous IE8 sans pouvoir upgrader pour une raison inconnue " />

Le 12/11/2013 à 12h 53

#49

Bill2 a écrit :

Et puis bon, quand les users ont FF et que leur PC continue d’être une vraie poubelle, c’est aussi la faute d’IE ?

Les logiciels à la con installés à droite et à gauche et qui viennent avec des spywares n’ont pas besoin d’IE pour foutre la merde … c’est juste un pb chaise/clavier.

" /> ça me fait penser dernièrement en regardant le portable dans la famille, portable super sécurisé avec antivirus machin, 2 pare feu, mise à jour et tout et tout mais qui rame avec plein de trucs qui s’ouvre”, tu fouilles un peu et tu trouves un truc “videoxyz” en 15 exemplaires, tu demandes et réponse “ben truc pour regarder les matchs de foot gratos mais certifier no prob sur le site récupéré”

jb18v

Le 12/11/2013 à 14h 23

#50

bon ben j’ai mis à jour en IE11 sous 7. Ça changera rien je m’en sers jamais " />

Le 12/11/2013 à 14h 36

#51

cid_Dileezer_geek a écrit :

IE est le navigateur que je n’arrête pas de déconseiller à ma famille, et malgré mes efforts ils reviennent régulièrement se faire désinfecter leur PC et se faire engueuler car ils continuent d’utiliser cette passoire d’IE.

Et bien à toi d’essayer les dernières versions car elles sont très bonne, on est loin de l’époque d’IE6.

Aujourd’hui, peu de chose justifie de pousser un navigateur plus qu’un autre si ce n’est peut être le support de plug in pour ceux en ayant vraiment besoin. Après Quand on me sort que Chrome/FF sont plus rapide et tout simplement meilleur qu’IE ça me fait bien meilleur car ces dernières années après avoir successivement être passer d’iE6 -> FF/IE8 -> chrome/IE9 ->IE10/11 c’est bien avec ces deux derniers que j’ai eu le moins de soucis.

Le 12/11/2013 à 14h 43

#52

Lafisk a écrit :

Et bien à toi d’essayer les dernières versions car elles sont très bonne, on est loin de l’époque d’IE6.

Aujourd’hui, peu de chose justifie de pousser un navigateur plus qu’un autre si ce n’est peut être le support de plug in pour ceux en ayant vraiment besoin. Après Quand on me sort que Chrome/FF sont plus rapide et tout simplement meilleur qu’IE ça me fait bien meilleur car ces dernières années après avoir successivement être passer d’iE6 -> FF/IE8 -> chrome/IE9 ->IE10/11 c’est bien avec ces deux derniers que j’ai eu le moins de soucis.

Le jour ou IE sera capable d’afficher un input texte et un input password de la même taille sans forcer le CSS, je daignerais peut-être laisser l’icône sur le bureau." /> semi-" />

Le 12/11/2013 à 14h 45

#53

maestro321 a écrit :

Le jour ou IE sera capable d’afficher un input texte et un input password de la même taille sans forcer le CSS, je daignerais peut-être laisser l’icône sur le bureau." />

ça … je suis dèv web et ils font bien chier avec ça, m’enfin les style chrome et FF ne sont pas trop de mon goût non plus ceci dit

Après de la à dire que ça en fait unm auvais navigateur … non pas du tout, au contraire, depuis IE y’a beaucoup d’améliorations IE8 était passable, le 9 pas mauvais et le ¹⁰⁄₁₁ sont au niveau de la concurrence mis à part le support des plug in que je n’utilisais de toute façon pas.

Le 12/11/2013 à 14h 51

#54

Lafisk a écrit :

ça … je suis dèv web et ils font bien chier avec ça, m’enfin les style chrome et FF ne sont pas trop de mon goût non plus ceci dit

Et au delà du troll, ils ont toujours des problèmes de gestion des propriétés CSS3.

Essaye de faire un fond dégradé/transparent avec ombrage dans une div puis d’arrondir les bord.

Bha ça va pas marcher. " />

En même temps tu as quand même raison ça n’a plus rien a voir avec les contraires rencontrées avec IE6..

Le 12/11/2013 à 14h 57

#55

maestro321 a écrit :

Et au delà du troll, ils ont toujours des problèmes de gestion des propriétés CSS3.

Essaye de faire un fond dégradé/transparent (1)avec ombrage dans une div puis d’arrondir les bord. (2)

Bha ça va pas marcher. " />

En même temps tu as quand même raison ça n’a plus rien a voir avec les contraires rencontrées avec IE6..

(1) je suis dèv, pas designer, je fais de “vraies” applie/site web pas juste le catalogue printemps été de la redoute " />, mais pour ce genre de cas, à l’ancienne, image transparente en background et hop roule ma poule.

(2) c’est encore à la mode ce genre de mocheté ? " />

Le 12/11/2013 à 15h 04

#56

Lafisk a écrit :

(1) je suis dèv, pas designer, je fais de “vraies” applie/site web pas juste le catalogue printemps été de la redoute " />, mais pour ce genre de cas, à l’ancienne, image transparente en background et hop roule ma poule.

(2) c’est encore à la mode ce genre de mocheté ? " />

(1) y en aura bientôt plus

(2) Un petit village d’Armorique résiste encore et toujours au flat design " />

Le 12/11/2013 à 15h 08

#57

WereWindle a écrit :

(1) y en aura bientôt plus

ils ont pas de potion magique ? " />

(2) Un petit village d’Armorique résiste encore et toujours au flat design " />

les salauds " />

Ceci dit, Apple à marié les deux, par contre, de la à dire que c’est un mariage réussi … " />

Le 12/11/2013 à 15h 27

#58

Lafisk a écrit :

(1) je suis dèv, pas designer, je fais de “vraies” applie/site web pas juste le catalogue printemps été de la redoute " />, mais pour ce genre de cas, à l’ancienne, image transparente en background et hop roule ma poule.

C’est bien pour ça que je parle de CSS3….

Je préfère me balader avec dix lignes de CSS qu’avec 12 versions d’une même images à trois pixels près.

Quand aux bords arrondis c’est comme la mode, d’ici deux/trois ans c’est de retour. " />

RaoulC

Le 12/11/2013 à 15h 28

#59

trash54 a écrit :

" /> ça me fait penser dernièrement en regardant le portable dans la famille, portable super sécurisé avec antivirus machin, 2 pare feu, mise à jour et tout et tout mais qui rame avec plein de trucs qui s’ouvre”, tu fouilles un peu et tu trouves un truc “videoxyz” en 15 exemplaires, tu demandes et réponse “ben truc pour regarder les matchs de foot gratos mais certifier no prob sur le site récupéré”

2 parefeux? non mais là j’ai envie de dire, ca sert a quoi " />

Tu m’étonne que ca doit pas être stable " />

Antivirus machin: justement, quel av? :p

A part cela, sérieusement, heureusement que le commentaire que tu cites a un peu de bon sens.

Ce n’est pas IE ou Firefox qui empêchera un utilisateur lambda de télécharger le CODEC VLC, Webplayer ou d’autres cochonneries.

Ou empêchera un logiciel légitime d’installer une toolbar à la con.

Dans les commentaires on mélange vraiment tout :p

Les ralentissements du PC, dans la grosse majorité des cas c’est une salo*erie installée soit même , de manière consciente ou semi-consciente (les bundles a la noix, les plugins a la con…)

Autrement dit, on ne peut pas décemment incriminer le navigateur pour toutes les infections pourries que l’on trouve chez la mère Michu ou son fils Kévin." /> Même pour la plupart d’ailleurs.

Ce genre de failles aident à la l’infection (par exemple allez voir sur malekal), mais l’internaute moyen est suffisamment ignare mal informé pour faire n’importe quoi même avec un ordinateur blindé

Le 12/11/2013 à 15h 33

#60

maestro321 a écrit :

C’est bien pour ça que je parle de CSS3….

Je préfère me balader avec dix lignes de CSS qu’avec 12 versions d’une même images à trois pixels près.

Quand aux bords arrondis c’est comme la mode, d’ici deux/trois ans c’est de retour. " />

pour le background transparent pas besoin, une image d’un pixel et repeat en css. Après faut pas vouloir plus compliqué sinon tu passes effectivement en css mais la après, c’est le taff du designer, plus le mien " />

paradise

Le 12/11/2013 à 15h 39

#61

" />

Les années passent, et ça continue : Windows, Explorer, les failles…

Que de souvenirs sur PCiNpact !

Mais du passé personnellement, 100% libre, c’est le cas de le dire… " />

Cherokee

Le 12/11/2013 à 16h 52

#62

toujours rien dans WU à cette heure-là" />

j-c_32

Le 12/11/2013 à 16h 58

#63

Tout les logiciels peuvent être faillibles.

Une bonne façon d’avoir un système à terme relativement mieux protégé, c’est que le marché soit divisé en plusieurs navigateurs (et plusieurs OS, aussi).

Ça permet aussi de tester de manière plus approfondie les éléments en phase de test du W3C, et permet d’éviter de tomber dans une appropriation du web (car aucun développeur n’a envie de faire des hacks spécifiques pour un navigateur à 10%).

Parmi les 3 plus grands éditeurs de navigateurs, seul Mozilla n’a pas une politique impérialiste sur les parts de marché.

Le 12/11/2013 à 19h 49

#64

paradise a écrit :

" />

Les années passent, et ça continue : Windows, Explorer, les failles…

Que de souvenirs sur PCiNpact !

Mais du passé personnellement, 100% libre, c’est le cas de le dire… " />

Euh… faut revenir dans le monde réel, y’a des failles aussi chez le libre. " />

Attention semi-troll :

Tu veux un système sans faille, tu prends une Debian Stable avec tous les programmes plus à jour (en fonctionnalités) depuis ⁵⁄₁₀ ans qui vont avec. Perso Gnome 1, KDE 3 et Mozilla Browser sont du passé pour moi. " />

anonyme_b3e05f43bed326da32611ec4ad59c217

Le 12/11/2013 à 20h 44

#65

Désolé de foutre allégrement les pieds dans le plat, mais si cette news a (encore) dévié sur une guéguerre entre navigateurs, c’est parti des posts de sniperdc et de ff0098. Je ne comprends pas que ce dernier ait même encore un compte ici, tant ses posts sont des (appels aux) trolls. Saoulant. " />

Le 12/11/2013 à 21h 00

#66

2 redémarrages avec cette fournée WU sur windows 8.1 Pro with media center " />

arno53

Le 12/11/2013 à 22h 36

#67

Glyphe a écrit :

Je vais enfin terminer par la phrase la plus drôle du jour :

“Sebdraluorg a dit : Bref, IE est clairement mieux sécurisé que les autres”

" />
Plus sécurisé ne ve pas forcement dire être le plus en sécurité …

Mais IE est clairement le plus sécurisé des navigateurs et utilise des techniques de protections que malheureusement d’autres navigateurs n’utilisent pas … C’est juste un fait … Tout comme le fait que la sandbox d’IE10/11 est encore plus restrictive que celle de Chrome qui a été leader sur ce points pendants quelques années …

Les sandbox ne résolvent pas tous mais on a bien vu depuis plus d’un 1 que pas mal de failles présentent dans tout les IE n’affectait pas les versions récentes grâce à ce genre de sécurité …

Bon ca m’empêche pas d’utilisé le seul navigateur populaire n’ayant pas de sandbox global mais quand même ce genre de préjugé m’énerve …

Le 12/11/2013 à 22h 43

#68

Muahaha le Web et les utilisateurs ne sont pas prêts pour avoir un navigateur trop sécurisé " />

" />

Le 12/11/2013 à 23h 09

#69

Muahaha le Web et les utilisateurs ne sont pas prêts pour avoir un navigateur trop sécurisé

dommage que MS ait plié face au mécontentement de certaines entreprises (à cause de JAVA peut être? Vu qu’oracle n’a pas publié de version compatible EPM)

à ce train là on va se retrouver avec le user agent d’IE10 dans IE11 par défaut ^^

quoi qu’il en soit IE Metro reste encore le plus sécurisé (64bit, EPM, et interdiction des plugins sauf Flash).

pour rappel, MS avait déjà fait des sacrifices en n’activant l’EPM qu’en 32bit sur IE desktop sous win8.1 (le 64bit était activable dans les options).

Le 12/11/2013 à 23h 46

#70

Au passage, la faille d’IE dont il est question dans cet article n’etait en réalité pas une faille d’IE, mais une faille de Cardspace.

la faille n’a pas été corrigée, Microsoft ayant décidé de “tuer” le contrôle activex de cardspace pour éviter son usage dans IE.

voila qui explique pourquoi MS a été si rapide a reagir (cardspace est déprécié et n’a jamais été massivement utilisé, c’était donc l’occasion de le tuer pour de bon).

en tout cas la faille n’aurait pas été exploitable avec IE Metro puisque ce type de contrôle activex ne peut pas fonctionner sur cette version.

Le 13/11/2013 à 07h 27

#71

arno53 a écrit :

Muahaha le Web et les utilisateurs ne sont pas prêts pour avoir un navigateur trop sécurisé " />

" />

Fausse information. D’une part cette option n’a jamais été activée par défaut dans IE10/11+ (j’inclus les mises à jour récentes), parce qu’on perd toute connexion en HTTP ce qui aurait rendu le navigateur inutilisable par défaut à l’installation fraiche de Windows. " />

Je cite (également après avoir constaté d’expérience personnelle) :

WereWindle a écrit :

[…]

Un serveur, par exemple, peut n’avoir qu’à ce connecter au LAN et jamais en http. C’est un moyen de l’inhiber.

[…]

De plus, une option du même nom se trouve dans l’onglet Securité et permet justement d’activer ou non la sandbox. Sauf que là encore, même après la mise à jour cette fonctionnalité est toujours active.

J’ignore ce qu’ils ont fumé mais ça sonne encore comme du IE bashing sans savoir de quoi ils parlent. " /> " />

Le 13/11/2013 à 07h 43

#72

Lafisk a écrit :

Et bien à toi d’essayer les dernières versions car elles sont très bonne, on est loin de l’époque d’IE6.

Aujourd’hui, peu de chose justifie de pousser un navigateur plus qu’un autre si ce n’est peut être le support de plug in pour ceux en ayant vraiment besoin. Après Quand on me sort que Chrome/FF sont plus rapide et tout simplement meilleur qu’IE ça me fait bien meilleur car ces dernières années après avoir successivement être passer d’iE6 -> FF/IE8 -> chrome/IE9 ->IE10/11 c’est bien avec ces deux derniers que j’ai eu le moins de soucis.

Parce que tu crois que je parle de IE 6? " /> Je viens juste(enfin, hier) de faire la mise à jour IE 10 –> IE 11, et IE est toujours le seul navigateur qui à la première ouverture de page, t’affiche un “sapin de noël” le truc qui te plonge en crise d’épilepsie dans la seconde quoi. sans compter les réglages qui se remettent à leurs positions par défaut sans que tu n’aie rien demandé(Microsoft dans toute sa splendeur).

FF accompagné de Adblock Plus et surtout de Noscript sans compter toutes les extensions possibles et imaginables, c’est le top.

Le 13/11/2013 à 07h 55

#73

Emralegna a écrit :

Fausse information. D’une part cette option n’a jamais été activée par défaut dans IE10/11+ (j’inclus les mises à jour récentes), parce qu’on perd toute connexion en HTTP ce qui aurait rendu le navigateur inutilisable par défaut à l’installation fraiche de Windows. " />

De plus, une option du même nom se trouve dans l’onglet Securité et permet justement d’activer ou non la sandbox. Sauf que là encore, même après la mise à jour cette fonctionnalité est toujours active.

J’ignore ce qu’ils ont fumé mais ça sonne encore comme du IE bashing sans savoir de quoi ils parlent. " /> " />

L’option en question se situe dans l’onglet “avancé” puis la sous rubrique sécurité.

Et pour avoir vérifié hier elle était décoché … Apres IE n’etant pas mon navigateur par défaut je sais plus si cette option était activé par défaut lors du passage a 8.1

Tolor

Le 13/11/2013 à 08h 15

#74

cid_Dileezer_geek a écrit :

Parce que tu crois que je parle de IE 6? " /> Je viens juste(enfin, hier) de faire la mise à jour IE 10 –> IE 11, et IE est toujours le seul navigateur qui à la première ouverture de page, t’affiche un “sapin de noël” le truc qui te plonge en crise d’épilepsie dans la seconde quoi. sans compter les réglages qui se remettent à leurs positions par défaut sans que tu n’aie rien demandé(Microsoft dans toute sa splendeur).

FF accompagné de Adblock Plus et surtout de Noscript sans compter toutes les extensions possibles et imaginables, c’est le top.

Si tu installes Adblock pour FF, pourquoi tu ne l’installes pas aussi pour IE " />

Compare deux navigateur sans add on, ou les 2 avec, mais pas l’un sans, l’un avec, ça a pas trop de sens

(et mes paramètres n’ont pas été reset au changement IE10 > IE11)

Le 13/11/2013 à 08h 50

#75

cid_Dileezer_geek a écrit :

Parce que tu crois que je parle de IE 6? " /> Je viens juste(enfin, hier) de faire la mise à jour IE 10 –> IE 11, et IE est toujours le seul navigateur qui à la première ouverture de page, t’affiche un “sapin de noël” le truc qui te plonge en crise d’épilepsie dans la seconde quoi. sans compter les réglages qui se remettent à leurs positions par défaut sans que tu n’aie rien demandé(Microsoft dans toute sa splendeur).

FF accompagné de Adblock Plus et surtout de Noscript sans compter toutes les extensions possibles et imaginables, c’est le top.

Même avis que Tolor, aucun paramètre n’a été reset chez moi et adblock existe pour IE aussi ..; en plus des paramètres interne à IE pour bloquer les pubs etc …

Comme quoi le problème c’est plus souvent l’interface chaise clavier que certains ne le pensent " />

Le 13/11/2013 à 08h 55

#76

Tolor a écrit :

Si tu installes Adblock pour FF, pourquoi tu ne l’installes pas aussi pour IE " />

Compare deux navigateur sans add on, ou les 2 avec, mais pas l’un sans, l’un avec, ça a pas trop de sens

(et mes paramètres n’ont pas été reset au changement IE10 > IE11)

Y a pas de Noscript pour IE, du moins à ma connaissance, et c’est de loin le plus important des deux, puis y a les autres extensions, et là aussi IE est à la bourre.

Même si IE a bien progressé, il est, pour moi (j’insiste sur ce “pour moi”), loin de ce que me propose FF de plus il ne permet pas de personnaliser l’interface à la manière dont FF le permet, et il ne faut pas croire que IE est le seul à ne pas trouver grâce à mes yeux, Opera m’a toujours rebuté à cause de sa gestion désastreuse des favoris, Safari je l’aime pas du tout(question de goût), Chrome peut allez se faire installer ailleurs, les malwares et spywares sont déjà assez nombreux comme ça, pas besoin d’en rajouter " /> quand aux autres navigos, j’en essaye un de temps en temps, mais je fini toujours par revenir sur FF.

Le 13/11/2013 à 09h 07

#77

Fausse information. D’une part cette option n’a jamais été activée par défaut dans IE10/11+ (j’inclus les mises à jour récentes), parce qu’on perd toute connexion en HTTP ce qui aurait rendu le navigateur inutilisable par défaut à l’installation fraiche de Windows

tu confonds avec la sécurité active par défaut sous Windows server qui bloque javascript et les téléchargements.

rien à voir avec le mode protégé amélioré qui, lui, était actif par défaut sous win8.1 rtm.

il est désormais désactivé par défaut depuis l’update d’hier.

Le 13/11/2013 à 09h 10

#78

cid_Dileezer_geek a écrit :

Y a pas de Noscript pour IE, du moins à ma connaissance, et c’est de loin le plus important des deux, puis y a les autres extensions, et là aussi IE est à la bourre.

Même si IE a bien progressé, il est, pour moi (j’insiste sur ce “pour moi”), loin de ce que me propose FF de plus il ne permet pas de personnaliser l’interface à la manière dont FF le permet, et il ne faut pas croire que IE est le seul à ne pas trouver grâce à mes yeux, Opera m’a toujours rebuté à cause de sa gestion désastreuse des favoris, Safari je l’aime pas du tout(question de goût), Chrome peut allez se faire installer ailleurs, les malwares et spywares sont déjà assez nombreux comme ça, pas besoin d’en rajouter " /> quand aux autres navigos, j’en essaye un de temps en temps, mais je fini toujours par revenir sur FF.

IE n’a pas pour but d’être personnaliser de la sorte, de toute façon, l’interface est clairement minimale sur les dernières versions, je vois pas trop ce que tu voudrais y customiser vu le peu de changement que cela apporterait.

Les plugs in et autres, c’est pas utile à tout le monde et franchement, je préfère un IE qui n’en a pas trop que les autres justement.

Pour les autres navigateurs, Safari comme la plupart des softs Apple, n’est bon que sur MacOS, sur les autres c’est pourri histoire de dire que c’est les limitations de Windows qui empêche d’avoir un bon soft …

Opéra m’a toujours rebuté bien qu’il y ai eu des fonctionnalités très sympa comme le speeddial (abandonné dans la dernière version) que j’aimerai bien avoir dans les autres navigateur mais ils préfèrent tous un tableau des sites les plus visité (qu’on peut remanier en espèce de speeddial mais c’est galère)

Chrome, si je gérais une boite d’antivirus il serait tout simplement le 1er sur la liste des menaces à effacés …

FF j’aimais bien mais après leurs difficultés niveau performances à certains moment de leurs version j’ai switcher et je suis satisfait avec IE donc je vais pas changer pour le principe, surtout que pour l’instant niveau intégration dans modernUI les autres navigateurs sont assez mauvais

yeagermach1

Le 13/11/2013 à 09h 17

#79

Lafisk a écrit :

Opéra m’a toujours rebuté bien qu’il y ai eu des fonctionnalités très sympa comme le speeddial (abandonné dans la dernière version) que j’aimerai bien avoir dans les autres navigateur mais ils préfèrent tous un tableau des sites les plus visité (qu’on peut remanier en espèce de speeddial mais c’est galère)

Le speed dial est toujours present sur opera derniere version. C’est les favoris qui ont disparu " />

#80

Je viens juste(enfin, hier) de faire la mise à jour IE 10 –> IE 11, et IE est toujours le seul navigateur qui à la première ouverture de page, t’affiche un “sapin de noël” le truc qui te plonge en crise d’épilepsie dans la seconde

wow la mauvaise foi n’a aucune limite de nos jours! Maintenant c’est la faute à IE si ya de la pub sur internet!

t’es conscient que IE est le seul navigateur a être capable de bloquer les pubs sans plugin additionnel? (via des tracking protection lists).

et si ce n’etait pas assez, il existe adblockplus pour IE depuis quelques mois.

Le 13/11/2013 à 09h 21

#81

jmanici a écrit :

wow la mauvaise foi n’a aucune limite de nos jours

.

En effet, surtout de ta part.

Le 13/11/2013 à 09h 22

#82

yeagermach1 a écrit :

Le speed dial est toujours present sur opera derniere version. C’est les favoris qui ont disparu " />

Il me semblait avoir vu une news qui disait qu’ils l’enlevait ici même y’a quelque temps.

Au temps pour moi alors " />

Le 13/11/2013 à 09h 36

#83

Y a pas de Noscript pour IE, du moins à ma connaissance, et c’est de loin le plus important des deux, puis y a les autres extensions, et là aussi IE est à la bourre

quel est l’intérêt de noscript si tu dois mettre tous les sites que tu visites en liste blanche sous peine d’avoir un fonctionnement cassé?

au final s’il y a une faille dans Firefox, suffit qu’un site malveillant demande gentiment d’activer JS pour que l’utilisateur le mette en whitelist et se fasse exploiter. C’est exactement ce qui s’est passé avec la NSA qui a exploité une faille dans le Firefox intégré au package tor malgré la présence de noscript.

bref, mieux vaut miser sur des fonctionnalités de sécurité qui améliorent la sécurité sans casser les fonctionnalités JS comme les sandbox d’IE et chrome. Noscript c’est juste une illusion de sécurité.

cela dit, il existe un équivalent de noscript sous IE, suffit de mettre la zone internet en sécurité élevée, et lorsqu’on veut réactiver les scripts sur un site, faut le mettre dans la liste de la zone de confiance. C’est la config par défaut sous Windows server 2003 et +.

pas besoin de plugin additionnel pour ça.

concernant le manque d’extensions, c’est normal, les extensions sont une source d’instabilité, de ralentissements, et posent de graves problèmes de sécurité. Microsoft va à terme les supprimer totalement.

déjà sous Windows RT les applis tierces ne peuvent pas installer d’extension sur IE desktop, et sous win8 IE Metro ne supporte plus du tout les extensions.

c’est une bonne chose compte tenu du bordel que les extensions installées par les adwares foutent sur les PC/MAC des utilisateurs lambdas.

MS essaye de migrer les utilisateurs vers des systèmes 100% sandboxés, sans malware: WP et WindowsRT. Il est évident que sur ce modèle les extensions ne peuvent pas exister, sous peine d’offrir aux développeurs malveillant un moyen alternatif d’infecter les utilisateurs avec des trojan ou des injecteurs de pub.

Le 13/11/2013 à 09h 38

#84

En effet, surtout de ta part

on est plus en maternelle mon gars!

si t’as une critique, developpe la.

Le 13/11/2013 à 09h 56

#85

arno53 a écrit :

L’option en question se situe dans l’onglet “avancé” puis la sous rubrique sécurité.

Et pour avoir vérifié hier elle était décoché … Apres IE n’etant pas mon navigateur par défaut je sais plus si cette option était activé par défaut lors du passage a 8.1

Je parle de la même option.

L’intitulé est présent deux fois, une fois dans l’onglet Sécurité, et une fois dans l’onglet Avancé, mais ce sont deux options différentes. Dans l’onglet sécurité ça active la sandbox, dans l’onglet avancé ça n’autorise que le LAN.

Dans l’onglet Sécurité c’était actif par défaut et ça n’a pas été désactivé suite à la mise à jour, et dans l’onglet Avancé ça n’a jamais été activé par défaut (et donc laissé en l’état).

jmanici a écrit :

tu confonds avec la sécurité active par défaut sous Windows server qui bloque javascript et les téléchargements.

rien à voir avec le mode protégé amélioré qui, lui, était actif par défaut sous win8.1 rtm.

il est désormais désactivé par défaut depuis l’update d’hier.

Je ne confonds pas (voir plus haut), et ce sont deux choses différentes (je parle évidemment de la version de Windows sortie au public).

Vous avez qu’à tester. " />

Le 13/11/2013 à 11h 51

#86

L’intitulé est présent deux fois, une fois dans l’onglet Sécurité, et une fois dans l’onglet Avancé, mais ce sont deux options différentes. Dans l’onglet sécurité ça active la sandbox, dans l’onglet avancé ça n’autorise que le LAN.

Dans l’onglet avancé, l’activation de l’enhanced protected mode remplace le protected mode classique (celui introduit dans vista) par celui introduit dans windows 8.0.

il est actif par defaut dans windows 8.1 RTM.

mais il a ete desactivé par la maj publiée hier.

pour rappel, il etait desactivé par defaut dans win8.0, et il n’est pas supporté dans win7.

http://www.julien-manici.com/blog/important-compatibility-changes-in-IE11-on-Win…

quant à ta derniere phrase selon laquelle l’Enhanced Protected Mode ne supporte que le LAN, ça n’a aucun sens.

c’est exactement le contraire en fait, l’EPM empeche l’acces au LAN si ton reseau est en mode privé/bureau.

il n’empeche bien entendu pas l’acces à internet.

Le 13/11/2013 à 12h 01

#87

@Emralegna

preuve que l’EPM etait actif par defaut et qu’il a ete desactivé:

http://support.microsoft.com/kb/2907803

Le 13/11/2013 à 13h 00

#88

jmanici a écrit :

quel est l’intérêt de noscript si tu dois mettre tous les sites que tu visites en liste blanche sous peine d’avoir un fonctionnement cassé?

Humn, sauf que c’est plus fin que cela et tu le sait bien .

Tu peut choisir de n’autoriser que les script du site lui même (et pas ceux hébergés ailleurs). La plupart des sites hébergent encore la majorité des scripts donc pour le cassage..

Ensuite, ben , tu peut excepter par exemple jquery, ou googleapi, etc…, une seule fois et après au compte goutte sur les sites que tu visites régulièrement.

Ce n’est pas comme si on visitait des milliers de sites web différents TOUT LES JOURS. Les autorisations temporaires c’est bien aussi.

Sur le reste, rien à redire. Sauf que les extension, c’est ca qui fait découvrir à beaucoup une autre facon de naviguer. Pourquoi nous priverait d’extensions sous prétexte que certains les utilisent mal / programmes des rogues / se font infecter?

Quite, hélas, à avoir un store unique pour les extensions? (attention, j’ai dit hélas les gens, pas taper)

Le 13/11/2013 à 13h 25

#89

RaoulC a écrit :

Humn, sauf que c’est plus fin que cela et tu le sait bien .

Tu peut choisir de n’autoriser que les script du site lui même (et pas ceux hébergés ailleurs). La plupart des sites hébergent encore la majorité des scripts donc pour le cassage..

Ensuite, ben , tu peut excepter par exemple jquery, ou googleapi, etc…, une seule fois et après au compte goutte sur les sites que tu visites régulièrement.

Ce n’est pas comme si on visitait des milliers de sites web différents TOUT LES JOURS. Les autorisations temporaires c’est bien aussi.

Sur le reste, rien à redire. Sauf que les extension, c’est ca qui fait découvrir à beaucoup une autre facon de naviguer. Pourquoi nous priverait d’extensions sous prétexte que certains les utilisent mal / programmes des rogues / se font infecter?

Quite, hélas, à avoir un store unique pour les extensions? (attention, j’ai dit hélas les gens, pas taper)

Il me semble que même chrome commence à prendre le chemin de l’interdiction des plug in ceci dit

Le 13/11/2013 à 14h 49

#90

Humn, sauf que c’est plus fin que cela et tu le sait bien .

Tu peut choisir de n’autoriser que les script du site lui même (et pas ceux hébergés ailleurs). La plupart des sites hébergent encore la majorité des scripts donc pour le cassage..

je sais que c’est possible, mais je vois mal l’utilisateur (meme geek) faire ça.

c’est comme les protections par analyse des comportements des antivirus.

en theorie ça permet de mieux proteger, mais,en pratique c’est terriblement lourd d’autoriser à tout bout de champ des actions d’apparence inoffensives, et au final ça n’apporte aucune garantie.

dans le cas de noscript, si le script malceillant est hebergé sur le domaine d’un site de confiance qui vient de se faire hacker, au final la protection vole en eclat meme si tu t’es fait chier à n’autoriser que le strict minimum.

Le 13/11/2013 à 15h 36

#91

Lafisk a écrit :

Il me semble que même chrome commence à prendre le chemin de l’interdiction des plug in ceci dit

Ouaisfin 2014 pour les plugin NPAPI… Seul ceux utilisant la Pepper Plugin API (donc doublement sandboxé si j’ai bien compris) seront autorisé ..

Le 13/11/2013 à 16h 46

#92

jmanici a écrit :

Humn, sauf que c’est plus fin que cela et tu le sait bien .

Tu peut choisir de n’autoriser que les script du site lui même (et pas ceux hébergés ailleurs). La plupart des sites hébergent encore la majorité des scripts donc pour le cassage..

je sais que c’est possible, mais je vois mal l’utilisateur (meme geek) faire ça.

c’est comme les protections par analyse des comportements des antivirus.

en theorie ça permet de mieux proteger, mais,en pratique c’est terriblement lourd d’autoriser à tout bout de champ des actions d’apparence inoffensives, et au final ça n’apporte aucune garantie.

dans le cas de noscript, si le script malceillant est hebergé sur le domaine d’un site de confiance qui vient de se faire hacker, au final la protection vole en eclat meme si tu t’es fait chier à n’autoriser que le strict minimum.

My bad , je raisonne en Geek " />

C’est vrai que rien que régler le parefeu en mode “je demande tout le temps” et a autoriser les appli une par une c’est lourd . Et ca ne protège pas des injections dans les processus (par exemple), mais là c’est le HIPS qui prend la main :).

Mais je n’installe pas d’application tout les jours. Et on a le mode apprentissage quand même.

Par contre quand tu dis aucune garantie…On le sait ça , personne n’a une protection bulletproof et/ou user-friendly à la fois :p

Toutefois, si plus de sites différents sont contactés pour afficher une page, on multiplie le risque que l’un des serveurs contactés soit infectés.

Si le serveur whitelisté du site en question est compromis, de toute facon, on ne pourra rien faire. Est-ce une raison pour ne pas tenter de minimiser les risques?

C’est à mon sens un plus, mais qui ne remplacera jamais de vrais outils de sécurité et la vigilance de l’utilisateur.

Et si on oublie la question de la sécurité, cela accélère le chargement de certaines pages.

Maintenant, personne ne force les gens à installer NS.

" />

Je l’ai voulu, je l’ai eu, et ca me convient parfaitement.

Le 13/11/2013 à 16h 47

#93

arno53 a écrit :

Ouaisfin 2014 pour les plugin NPAPI… Seul ceux utilisant la Pepper Plugin API (donc doublement sandboxé si j’ai bien compris) seront autorisé ..

Plugin != extension " />

Le 13/11/2013 à 16h 49

#94

RaoulC a écrit :

Plugin != extension " />

Je sais bien j’ai jamais dit le contraire " />

Chrome veut bannir les java, silverlight et autre adobe reader … Mais absolument pas les extensions du chrome Web Store … C’est un peu le coeur de leur strategie Chrome OS.

A termes IE et Chrome veulent bannir les plugins non sandboxé (deja fait pour IE metro) par contre Chrome possedera des extensions (la majorité sont en html/css/javascript, je sais pas si des extensions utilisant NaCl existent ?) choses que IE n’a pas l’air de vouloir mettre en place …

Le 13/11/2013 à 17h 25

#95

Je t’ai cité parce que tu en parle, c’est tout :)

Au passage merci de l’info. " />

Les plugins c’est le mal.

Comme on entretient tous savamment la confusion extension/plugins j’avais compris que IE ne voulais plus des extensions moi " />

Le 13/11/2013 à 17h 56

#96

RaoulC a écrit :

Je t’ai cité parce que tu en parle, c’est tout :)

Au passage merci de l’info. " />

Les plugins c’est le mal.

Comme on entretient tous savamment la confusion extension/plugins j’avais compris que IE ne voulais plus des extensions moi " />

Bah IE n’a pas vraiment de plateforme pour les extensions … Des extensions existent comme Web Of Trust ou Adblock mais je sais pas doit y’en avoir une centaine face a des milliers chez Chrome/FF…

De plus IE Metro ne permet pas l’installation d’extension a ma connaissance … Donc au final ouais j’ai bien l’impression que IE veut bannir Plugin et Extension …

Le 13/11/2013 à 18h 57

#97

Bah IE n’a pas vraiment de plateforme pour les extensions … Des extensions existent comme Web Of Trust ou Adblock mais je sais pas doit y’en avoir une centaine face a des milliers chez Chrome/FF…

De plus IE Metro ne permet pas l’installation d’extension a ma connaissance … Donc au final ouais j’ai bien l’impression que IE veut bannir Plugin et Extension …

IE supporte les extensions, parfois appelées Browser Helper Object depuis au moins IE3.

ça implique de coder en natif, donc c’est pas la meme facilité que sur chrome/fx.

mais de toutes façons MS veut se débarrasser des plugins ET des extensions.

sur windows RT ça n’existe deja plus, et sur IE metro non plus.

j’ai du mal à comprendre pourquoi google bâtirait sa stratégie autour des extensions alors qu’ elles ont la capacité d’anéantir tout les efforts que google a fait en matière de securité.

en gros, quelqu’un pourrait tout à fait créer une extension malveillante sur chrome OS et contaminer par social engineering un certain nombres d’utilisateurs avant que google la bannisse.

c’est franchement pas dur quand on voit le nombre d’utilisateurs qui installent des soit disant “vlc plugins”…

Le 15/11/2013 à 21h 32

#98

jmanici a écrit :

j’ai du mal à comprendre pourquoi google bâtirait sa stratégie autour des extensions alors qu’ elles ont la capacité d’anéantir tout les efforts que google a fait en matière de securité.

en gros, quelqu’un pourrait tout à fait créer une extension malveillante sur chrome OS et contaminer par social engineering un certain nombres d’utilisateurs avant que google la bannisse.

c’est franchement pas dur quand on voit le nombre d’utilisateurs qui installent des soit disant “vlc plugins”…

Bah c’est valable pour tout les OS ca … Les applis WinRT/Android ont beau etre sandboxé, si l’utilisateur donne acces à internet/telephonie ca peut etre une applis qui fait du spam, qui te vole ton mot de passe en se faisant passer pour une applis bancaire etc…

Je sais pas si on peut assimilé une application Chrome Web Store à une extension Chrome mais pour moi c’est assez proche … Donc oui Google bâtit sa stratégie Chrome OS autour de la possibilité pour Chrome d’exécuter du code ne venant pas de Google mais de développeurs externe.

Après, Google ne commettra pas les “erreurs*” du passé faite par MS (dans la mesure où les activeX et les Browser Helper Object peuvent corromprent le système) et compte bien protéger au maximum Chrome OS du code externe via des Sandbox (NaCl) et des api spécifiques etc … Ms le fera surement aussi même si pour l’instant ce n’est qu’un projet

*Enfin “erreur” … C’etait une autre epoque, Ms ne pouvait imaginé l’importance que le web allait prendre et à l’époque la sécurité d’ActiveX se limitait à la confiance qu’on mettait dans le développer de cette ActiveX tout comme pour n’importe quel plugin NPAPI actuel … Et sur ce point Pepper Plugin API est bien venu.

Enfin là j’extrapole à ces BHO que je ne connaissais pas mais je pense pas que vue l’époque ce code natif soit sandboxé " />

Microsoft corrigera ce soir plusieurs failles d’Internet Explorer déjà exploitées

Des attaques particulièrement bien pensées

Une faille critique pour plusieurs versions du navigateur

Des attaques plus sophistiquées que prévu

Les protections d'Internet Explorer et de Windows contournées

Tiens, en parlant de ça :

Terrorgram, la fabrique de terroristes d’extrême-droite, à coups de mèmes et de shitposts

SS 2.0

Fiabilité des disques durs HAMR de 30 To et plus : Seagate donne des chiffres

Get Ready for Mach 3 (qui s’en souvient ?)

[Màj] Le Congrès des États-Unis vote la loi obligeant ByteDance à vendre TikTok

Des tics et des tocs

Sommaire de l'article

Introduction

Une faille critique pour plusieurs versions du navigateur

Des attaques plus sophistiquées que prévu

Les protections d'Internet Explorer et de Windows contournées

Terrorgram, la fabrique de terroristes d’extrême-droite, à coups de mèmes et de shitposts

Fiabilité des disques durs HAMR de 30 To et plus : Seagate donne des chiffres

[Màj] Le Congrès des États-Unis vote la loi obligeant ByteDance à vendre TikTok

#LeBrief : Fedora 40, anniversaire Hubble, vidéosurveillance algorithmique à Cannes, Voyager 1, Android 15 bêta 1.1

Sur GitHub et GitLab, des commentaires détournés pour stocker des malwares

[FAQ] Notre antisèche sur l’informatique quantique

L’Université d’Oxford ferme le Future of Humanity Institute dirigé par Nick Bostrom

#LeBrief : Apple rachète le français Datakalab (IA), propagande de la Russie, fin de partie pour Roccat, Proton Mail vs dark web

Europol milite pour un chiffrement de bout en bout « flexible »

Inclusion dans la tech : critiqué, le CEO de Qovery menace une internaute de poursuites

L’extension des prestataires américains devant collaborer avec la NSA fait polémique

#LeBrief : fuite chez Speedy, Rust pour Thunderbird, Saint Exupéry et PhiFire AI pour le satellite Φsat-2

Des institutions internationales s’engagent pour l’ouverture des données sur la recherche

#Flock craque le slip et explose les quotas

[Édito] Au pays des VPN menteurs…

Les clients LastPass victimes d’une attaque par phishing orchestrée grâce à un kit clé en main

Les recommandations de la NSA pour « déployer des systèmes d’IA en toute sécurité »

#LeBrief : Windows Store amélioré, 28 licenciements chez Google, sécurité des données des français, compétition 404CTF

EUCS : la certification cloud européenne sous le feu des critiques en France

L’Institut des normes de télécommunication de l’UE (ETSI) défie la Commission européenne

Le « payer ou accepter » de Meta incompatible avec le RGPD pour le CEPD

Le CERN libère les données de la découverte du boson de Higgs

Le ministère de l’Intérieur mise sur l’américain TRM Labs pour traquer les flux illégaux de cryptos

#LeBrief : spectre du gamergate, TikTok Lite sous pression, Freebox Ultra vs Deus Ex Silicium, Pegasus en Pologne

Commentaires (98)