lu sur fr.comp.securite !! patchez vite !!!
 
Source : http://www.k-otik.com/news/08.21.MS03-032.php
 
Par Fabien Lesner (K-OTik) - L'équipe de Microsoft a publié hier un patch de sécurité fixant plusieurs vulnérabilités présentes dans Internet Explorer (M03-032). La faille la plus dangereuse permet l'exécution de code arbitraire grâce à une simple email ou une page HTML. Cette vulnérabilité est similaire à celle découverte en Mars 2001 (MS01-020) et qui avait provoqué à l'époque une belle pagaille numérique avec l'apparition des virus Klez, Nimda et Badtrans.
 
Cet exploit donne une idée sur la gravité du problème : grâce à une simple page html et un tag "Object Data", il est possible de lancer n'importe quel exécutable (présent en local ou sur un serveur distant), l'utilisateur vulnérable n'est même pas obligé de cliquer sur un lien ou d'ouvrir un fichier attaché, la simple visite de la page malveillante provoquera l'exécution du code avec les privilèges de l'utilisateur en cours.
 
Il est donc impératif de patcher immédiatement tous les systèmes
utilisant IE 5.01 - 5.5 et 6.0.
 
Advisory : http://www.k-otik.net/bugtraq/08.21.MS03-032.php
Exploit  : http://www.k-otik.com/exploits/08.21.M03-032.php
 
-

on les chopes ou c patch

le patch ultime c'est de mettre IE et tous les navigateurs à base de IE (ex crazy browser) à la poubelle     .  

Patchs :
 
http://www.microsoft.com/technet/s [...] 03-032.asp
 

Merci, c sympa !(même si je savais déjà).

je suis pas sure que l'on puisse virer IE, il fait partie integrante de windows il me semble

Bientôt le virus.    
Mais déjà le patch.    
 
Comme la dernière fois.    
Allez, on parie: combien vont se faire avoir quand même?  
 
Encore du travail pour le modos.    
 
 
 
 
 

cool ça prouve (encore) que m$ est prédominant dans la distribution mondiale de bugs et failles

Je donne un ou deux mois pour le virus. Le problème est que les utilisateurs et les entreprises ne pensent pas toujours à patcher leurs machines. Et pourtant, c'est si simple...

 
oui et non...
 
En entreprise = compte users sans le droit d'installer ...
pour éviter que certaines personnes installent n'importe quoi
Et t'en à d'autre qui ne savent pas trop comment ça marche.
 
Hors quand ta 100, 200, 300 machines c'est dur pour l'admin systeme de passé sur tous les postes    
 
L'installation à distance de patch sous M$ c'est pas encore ça (on est en train de voir ça)

 
 
C'est que intervient SU.EXE qui permet de passer des commandes dans un script sous le compte administrateur  

 
et le script on peut lancer par un remote ?

Une autre solution qui fonctionne bien c'est d'utiliser un autre navigateur (Netscape) et un autre client mail. Ca réduit de beaucoup les problèmes.
Surtout dans les grandes entreprises.

 
Oui c'est un bach script.Tu peux le lancer en login script.
Je vais faire un topic avec un exemple.

Ou alors tu passee en 2003 et la tu peux monter un serveur Windows Update, et grace au GPO tu peux passer outre les limitation de l'utilisataeur

 
 
Je suis intéressé  

 
Microsoft offre un outils gratuit pour monter un serveur windows update
 
http://www.microsoft.com/windows20 [...] efault.asp

 
 
Attention a ce produit!!!
Il ne faut surtout pas l'installer sur un serveur web en prod,ca fout une grosse merde dans IIS.
Sinon ca marche...

 
Ah ca c clair il faut le monter sur un serveur seul

Ouais, autant que Suse...

 
je ne pensais pas virer physiquement IE mais plutot le remplacer par autre chose. Il y a des nos jours des navigateurs alternatifs bien plus avancés d'un pt de vue technique, qui evoluent bien plus vite et sont nettement moins sujets aux failles de secu.

bon pour une fois je vais appliquer le patch avant le probleme
 
par contre comment je sais si mon IE est sp1 ou pas?  
Parceque j'ai le choix entre le patch "Internet Explorer 6 SP1" et "Internet Explorer 6 for Windows XP".

 
Ca prouve juste que leurs produits sont les plus utilisés et donc plus soumis aux attaques que les autres editeurs ...

ie 6.0.2600 sur win98, concerné ou pas ? Vu qu'y a pas de patch..?

Il est où ce fameux patch ???
J'ai lu la page en lien, mais j'ai pas trouvé...
(WinXP + IE6)

ici (cette page était en lien su l'autre page):
http://www.microsoft.com/windows/i [...] wnload.asp
Choisis la langue en haut à droite et GO.
 
Ou autant télécharger le patch cumulatif pour IE:
http://www.pcinpact.com/drivers/detail/796/1.htm

Ah OK, moi y en avoir compris...

 
Les deux liens ce sont les mm download

 
Pourrais-tu expliquer ton post stp ?

Suse vend bien son pack avec 6 CDs? Dedans, y a toute une série de softs dont tu n'as spécialement besoin, en plus de l'OS?
 
MS vend bien son Os avec des soft en plus (IE entre autre) dont tu n'as pas spécialement besoin?
 
Si l'on parle de vente forcée pour l'un, on doit également parler de vente forcée pour l'autre. Que l'on soit contre la politique monopolistique, soit. Mais que l'on utilise des arguments bidons pour les diaboliser à tout prix, non.

La GROSSE différence c'est que dans ce paquet de soft, aucun (ou presque) n'est développé par Suse, que tu en as plusieurs qui remplissent la même tâche (donc tu peux choisir) et que ces softs ne sont pas indispensables, tu peux installer un système sans. Alors que IE tu peux pas le désinstaller de Windows (le cacher oui, mais pas le désinstaller).
 
Bon admettons que ça soit l'évolution du système, tout ça. Le truc c'est que Microsoft ne permet pas aux autres sociétés de développer des services identiques pour Windows, aussi bien intégrés. La Commission Européenne a lancé un avertissement à Microsoft sur MSN la semaine dernière, je suppose qu'ils ont un peu étudié la question...

Tu deplace le pb vers un autre browser c tout

a merde qd j'achete un pack de lessive, g une figurine en cadeau > vente forcé aussi donc  

Bon, dans l'ordre:
 
- L'argument d'avoir des soft qui ne sont pas indispensables mais quand même vendus dans le pack n'est pas en faveur de Suse, si ce n'est du côté du prix...
 
- Dans windows, tu peux également choisir d'installer ou non les composants.
 
- IE peut être totalement désinstallé de windows sans problème. La seule chose qui reste, ce sont les DLL de rendu HTML qui sont utilisées par d'autres programmes. Mais c'est normal, c'est comme si tu te plaignait de ne pas pouvoir enlever nautilus sous gnome avec son gestionnaire d'interface tout en gardant gnome...
 
- La commission européenne attaque MS part le mauvais côté. D'une part la plupart des softs s'intègrent parfaitement bien dans IE, d'autre part, ce n'est pas sur le plan de l'offre qu'il faut frapper, mais sur le plan du choix de l'OS par les constructeurs/distributeurs. La plupart des gens ont déjà tellement de mal à comprendre et utiliser correctement un logiciel de chaque type, leur fournir d'office une plétore de soft ne fera que les perdre un peu plus.

  Comprends pas...
 

Qui sont tous de Microsoft
 

Je travailles sous Gnome sans Nautilus hein. Il peut se retirer totalement et laisser la place à d'autres gestionnaires de fichiers
 

D'accord sur la question du choix de l'OS. Je crois d'ailleurs que Microsoft s'est bien calmé sur les contrats qui les liaient aux constructeurs d'ordinateurs.  
Pour le reste, à te suivre on devrait fournir aux gens que des Renault, parce que bon fournir une pléthore de constructeurs automobiles, c'est les perdre hein.
Ceci dit, il faut reconnaître que XP est un bon produit pour l'utilisateur final. La seule chose c'est qu'il faudrait que ça soit un peu plus ouvert pour que tous les logiciels puissent s'y intégrer. Et qu'il y ait un logiciel de lecture vidéo (ou de messagerie instantanée, etc.) je trouve ça limité puisque qu'avec 95% de parts de marché sur le marché des OS, ça donne un sacré avantage sur les marchés suivants qu'on conquiert par ce biais-là. C'est juste une question d'ouverture à la concurrence. Les constructeurs informatiques pourraient devoir proposer à l'utilisateur le choix entre plusieurs logiciels, à un même endroit (pas de distinction composants Windows/logiciels externes)

Je crois que chez symantec il le prendrai mal si microsoft livrai leur suite gratuitement avec...

 
c'est sur que sur un os où il n'y a aucune appli et utilisé par 3 personnes dans le monde, doit pas y en avoir des tas des virus...