Reprise du message précédent :
voui y a un peu de temps à y passer ce mois-ci

mouais mais c'est zarb je vois que 2 update critique

 
  pour ton boulot
 
Je viens tjs jeter un clic de temps en temps pour connaitre les news...  
 
Et maintenant avec le   je le retrouvais plus facilement  

eh eh
 
c'est bon avec tout ça ma déprime est partie
 
en plus y a eu de la lecture aujourd'hui
 
Rio Grande : c'est zarbi moi j'en ai mis 7 (dont celle pour Excel) à la main mais ma femme (sous win2k SP4 comme moi) n'en a eu que 4 par windowsupdate

moi j'arrive plus à faire marcher windowsupdate il me dit que je dois me connecter sous un compte administrateur (alors que je suis sous mon compte admin )

Bon pour windows update il faut laisser le svchost.exe allez sur le net sinon ça marche pas

je veux bien mais là j'ai coupé le firewall et j'ai mis "maj automatique>auto" et "service de transfert intelligent>activé" mais j'ai quand meme ça  

il te reste le téléchargement manuel mais c'est chiant

c'est quoi le "service de transfert intelligent"?

je sais pas je me rappelle que qd on le desactive ben winupdate marche pas ou alors c un truc qui a le meme nom (service de transfert en arriere plan?)

Nouveau Bulletin et Top10 US-CERT (mis en deuxième post)
 
http://www.us-cert.gov/cas/bulletins/SB04-287.html
 
Et je regarde aussi ça New Remote Microsoft JPEG DoS Vulnerability + Other Potential Security Vulnerabilitys in asycpict.dll 1.0 Advisory qui n'annonce rien de bon
 
edit : ajout aussi du Top10 Trend

cela a l'air de se confirmer, je regarde ça demain quand j'aurai le temps
 
Microsoft Operating System 'asycpict.dll' Lets Remote Users Crash the System

Me revoila avec des failles sur Antivirus et un nouveau Mydoom
 
## Problème avec 6 antivirus très connus ## Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability Bugtraq SecutiyFocus 18/10/2004 et Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability iDEFENSE Security Advisory 18/10/2004  
Description : Le format .zip stocke les informations sur les fichiers compressés à deux endroits
- un en-tête local et un en-tête global. L'en-tête local est situé juste avant les données compressées de chaque fichier, et l'en-tête global est à la fin de l'archive .zip . Il est possible de modifier la valeur de la taille  
non-compressée des fichiers archivés dans n'importe lequel des ces deux en-têtes sans affecter la fonctionnalité de l'archive elle-même. Cela a été confirmé avec WinZip et Microsoft Compressed Folders. Un attaquant peut donc compresser un fichier malicieux et eviter sa détection par des logiciels antivirus en modifiant la taille non-compressée dans les en-têtes et en la mettant à "0".
Logiciels non affectés : Symantec, Bitdefender, Trend Micro et Panda (seules leurs dernières versions ont été vérifiées )
Logiciels affectés et solutions: (les liens emmènent vers les pages Alertes Security Tracker correspondantes)

• Mac Afee il suffit de récupérer le fichier DAT n°4398 du 13 Octobre dans lequel est inclus une signature qui détècte le problème et annonce "Found the Exploit-Zip Trojan!"
• Computer Associates les patchs pour les différentes versions des produits concernés (CA InoculateIT 6.0, eTrust Antivirus r6.0 r7.0 et r7.1, eTrust Antivirus for the Gateway r7.0 et r7.1, eTrust Secure Content Manager et eTrust Intrusion Detection) sont disponibles depuis cette page : http://supportconnectw.ca.com/publ [...] b_vuln.asp
• Eset NOD32 un fix est disponible dans la version 1.020 du module "archive-support" datant du 16 Septembre. Récupérable pour les clients utilisant l'"Automatic Virus-Signature".
• RAV Antivirus pas de réponse de leur part.
• Sophos pas de réponse non plus.
• Kaspersky pas de solution pour le moment, mais Kaspersky prévoit la résolution du problème pour les versions 3.x et 4.x dans la prochaine mise à jour cumulative. Concernant la version 5.0 il faut attendre le prochain "maintenance pack" prévu courant Octobre.

## Problème avec 3 antivirus ## Multiple AntiVirus Reserved Device Name Handling Vulnerability Bugtraq SecutiyFocus 18/10/2004
Logiciels affectés : Antivir ( www.hbedv.com ), Twister ( www.filseclab.com ) et Protector plus 2000 ( www.pspl.com )
Description : Il s'agit exactement du même problème que pour Norton (décrit deux niveaux plus bas dans cette page). Lors des scans automatiques et manuels , les fichiers portant des noms incluant des séquences réservées aux périphériques MS-DOS (AUX, CON, PRN, COM1 and LPT1) ne sont pas scannés.
Solution : Les3 vendeurs ont été contactés et seul Twister a répondu en disant que ce sera corrigé dans la prochaine version
 
/!\ Nouvelle version de Mydoom /!\ W32.Mydoom.AF@mm (Symantec), W32/Mydoom.ae@MM (Mac Afee), I-Worm.Mydoom.aa (Kaspersky) et Win32.Mydoom.AD (Computer Associates)
Propagation : Par mail en anglais avec sujet (Announcement, Details, Document, Fw:Document, Fw:Important, Fw:Information, Fw:Notification, Fw:Warning, Important, Information, Notification, Re:Details, Re:Document, Re:Important, Re:Information, Re:Notification, Re:Warning, Warning, readnow!) , message (Check the attached document., Daily Report., Details are in the attached document., Important Information., Kill the writer of this document!, Monthly news report., Please answer quickly!., Please confirm!., Please read the attached file!., Please see the attached file for details, Please see the attached file for details., Reply, See the attached file for details, Waiting for a Response. Please read the attachment., here is the document., your document.) suivi de +++ Attachment: No Virus found avec une pseudo confirmation d'éditeurs d'antivirus connus (+++ Bitdefender AntiVirus - www.bitdefender.com, +++ F-Secure AntiVirus - www.f-secure.com, +++ Kaspersky AntiVirus - www.kaspersky.com, +++ MC-Afee AntiVirus - www.mcafee.com, +++ MessageLabs AntiVirus - www.messagelabs.com, +++ Norman AntiVirus - www.norman.com, +++ Norton AntiVirus - www.symantec.com, +++ Panda AntiVirus - www.pandasoftware.com) et fichier attaché (archive.doc, attachment.doc, check.doc, data.doc, document.doc, error.doc, file.doc, information.doc, letter.doc, list.doc, message.doc, msg.doc, news.doc, note.doc, notes.doc, report.doc, text.doc avec une deuxième extension .cpl .pif .scr)
 
Symptômes :

• Lors de l'exécution du virus, le bloc note s'ouvre et est rempli de cararctères "bizarres"
• Se copie en tant que avpr.exe dans le répertoire Système
• Ajoute la valeur "Avpr" = "%System%\avpr.exe" à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pour se lancer automatiquement avec Windows
• Crée aussi le fichier TCP5424.dll dans le répertoire Système (responsable de l'ouverture d'une backdoor sur les ports TCP 5424, 5425, et 5426)
• Modifie la valeur "(Default)"="%System%\TCP5424.dll" dans la clé de registre HKEY_CLASSES_ROOT\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 pour qu'explorer.exe charge la dll
• Crée le fichier %System%\msg15.txt qui contient le message

  Citation : Lucky's Av's ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes .Also we will attack f-ecure,symantec,trendmicro,mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity <== so Where is the Skynet now? lol. This Will Drop W32.Scran P2P Worm

Action :

• Crée les clés suivantes afin de se dire à lui-même que le virus a déja tourné sur ce pc HKLM\Software\Microsoft\Windows\DdInfect et HKCU\Software\Microsoft\Windows\DdInfect
• Cherche et efface les valeurs ICQ Net et MsnMsgr de la clé HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
• Modifie le fichier [i]%System%\drivers\etc\hosts pour empêcher l'accès à de nombreux sites de sécurité : avp.com, ca.com, customer.symantec.com, dispatch.mcafee.com, download.mcafee.com, f-secure.com, kaspersky.com, liveupdate.symantec.com, liveupdate.symantecliveupdate.com, mast.mcafee.com, mcafee.com, my-etrust.com, nai.com, networkassociates.com, rads.mcafee.com, secure.nai.com, securityresponse.symantec.com, sophos.com, symantec.com, trendmicro.com, update.symantec.com, updates.symantec.com, us.mcafee.com, viruslist.com, viruslist.com, www.avp.com, www.ca.com, www.f-secure.com, www.kaspersky.com, www.mcafee.com, www.my-etrust.com, www.nai.com, www.networkassociates.com, www.pandasoftware.com, www.sophos.com, www.symantec.com, www.trendmicro.com, www.viruslist.com
• Essaye de télécharger un fichier d'une URL du domaine freewebs, le sauve sous c:\Scran.exe et l'exécute. (virus P2P détecté sous le nom W32.Narcs (Symantec), W32/Scran.worm (Mac Afee), Worm.P2P.Scranor.a (Kaspersky) ou Win32.Scranor.A (Computer Associates)

http://www.informatique-facile.net [...] _news=1003

 
Il a l'air pas mal celui la

ouaip pas top, je regarde ça et j'ai vu qu'à Noël il est prévu pour détruire tout les fichiers du disque dur

Voila la description complète
 
/!\ Bacros le destructeur venu du nord  /!\ Bacros.A (F-Secure), W32/Bacros-A et WM97/Bacros-A (Sophos)
Propagation : par disquette et CD (comme dans le bon vieux temps)
Symptômes :

• Il se copie en %WinSysDir%\mssys.exe, %WinSysDir%\sys.exe et %WinSysDir%\msdosdrv.exe
• Il se place dans les clés de la base de registre suivantes afin de démarrer avec windows

"MSSys" = "%WinSysDir%\mssys.exe -d" dans HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MSDosdrv" = "%WinSysDir%\msdosdrv.exe -t" dans HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 
Action : plein d'actions différentes selon la date (quand il se lance avec l'option "-d" )

• Dès son exécution il affiche un fichier texte avec le bloc-note
• L'exécution de "%WinSysDir%\msdosdrv.exe -t" crée un document word infecté par WM97/Bacros-A, WordInfo.doc dans le répertoire des documents de l'utilisateur (souvent Mes Documents par défaut) et dans le répertoire de windows
• Le Macro Virus essaye de copier C:\Windows\System\sys.exe à la racine du lecteur A: comme ReadMy.exe
• Si on est le 1er jour du mois, le virus remplace toutes les images au format .gif qu'il trouve sur les disques durs locaux du pc par une petite image .gif avec écrit "Kuole Jehova" qui signifie "Meurt Jehova" en finois
• Si on est le 2 du mois, le virus fait une recherche sur les disques durs locaux du pc et crée une copie de lui même (en .exe) avec le nom de tous les fichiers .txt qu'il trouve. (nb: l'icône de ces copies du virus ressemble à celle du bloc-note)
• Le 6 du mois, le Macro Virus tape le texte "I Madman" et met comme auteru du fichier "Ancient"
• Les 10, 20 et 30 du mois le virus essaye d'ouvrir le fichier word infecté Wordinfo.doc afin de lancer le Macro Virus qui se répliquera à l'ouverture et à la fermeture des documents de l'utilisateur du pc. Ce Macro Virus réside dans un Macro appelée NewBacros, il infecte bien sûr le Normal.dot et se copie dans Normal.doc dans le répertoire Template de Word
• Le 6 Décembre, jour de la fête d'indépendance de la Finlande, le virus modifie le fond d'écran du pc en mettant un petit drapeau finlandais à la place
• Le 25 Décembre le virus effacera l'ensemble des fichiers présent sur tous les disques durs locaux
• Tous les autres jours il essaiera de se copier sur les CD-ROM disponibles dans le lecteur (pour cela il faut que le pc soit équipé d'un logiciel de Packet Writing bien entendu). Il se copiera alors sous le nom ReadMy.exe et écrira un Autorun.inf pour se lancer dès l'insertion du cd sur un autre pc (ou modifiera l'autorun.inf existant)

miam,c'est le moment de ressortir le lecteur de disquettes pour filer le virus à tous mes potes!

ça faisait longtemps qu'il n'y avait pas eu un virus destructeur, heureusement.

Symantec se réveille sur Bacros, mais leur description est encore plus qu'incomplète, il y a juste les symptômes et pas les actions destructrices

mais s'il se diffuse que par cd et floppy, ça va se propager tres vite

juste pour info :
 
K-Otik a mis à jour son article sur Le code d'exploitation pour la faille MS04-028 est désormais public datant du 23/09/2004 avec ce qui suit :

/!\ Bagz /!\ W32.Bagz.D@mm (Symantec) et W32/Bagz.d@MM (Mac Afee)
Propagation : Mail en anglais différents sujets (ASAP, please responce, Read this, urgent, toxic, contract, Money, office, Have a nice day, Hello, Russian's, Amirecans, attachments, attach, waiting, best regards, Administrator, Warning, text, Vasia, re: Andrey, re: please, re: order, Allert!, Att), corps de message assez long en anglais (soit pour demander si vous avez reçu le précédent fichier, soit pour vous dire que votre mail avait un virus ou a été reconnu comme du spam........) et fichier attaché avec les noms suivants (backup, admin, archivator, about, readme, help, photos, payment, archives, manual, inbox, docs, outbox, save, rar, zip, ataches, documentation) et une extension .zip ou .doc(beaucoup d'espaces).exe
Symptômes :  

• Crée les fichiers suivants %System%\rpc32.exe, %System%\run32.exe et %System%\sysboot.doc (bcp d'espaces) .exe
• Se déclare en tant que service RPC32 avec les caractéristiques suivantes : "Nom: Network Explorer", "Chemin: %System%\rpc32.exe", "Description: Démarre et configure les outils d'accessibilité à partir d'une fenêtre" et "Type de Démarrage: Automatique"
• Toujours dans le répertoire %System% il crée des copies de lui-même avec les noms de fichiers attachés donnés ci-dessus lui servant à s'envoyer par mail

Action :  

• ajoute une liste de site au fichiers Hosts afin d'en bloquer l'accès (ad.doubleclick.net, ad.fastclick.net, ads.fastclick.net, ar.atwola.com, atdmt.com, avp.ch, avp.com, avp.ru, awaps.net, banner.fastclick.net, banners.fastclick.net, ca.com, click.atdmt.com, clicks.atdmt.com, dispatch.mcafee.com, download.mcafee.com, download.microsoft.com,, downloads.microsoft.com, engine.awaps.net, f-secure.com, fastclick.net, ftp.f-secure.com, ftp.sophos.com, go.microsoft.com, liveupdate.symantec.com, mast.mcafee.com, mcafee.com, media.fastclick.net, msdn.microsoft.com, my-etrust.com, nai.com, networkassociates.com, office.microsoft.com, phx.corporate-ir.net, secure.nai.com, securityresponse.symantec.com, service1.symantec.com, sophos.com, spd.atdmt.com, support.microsoft.com, symantec.com, vupdate.symantec.com, updates.symantec.com, us.mcafee.com, vil.nai.com, viruslist.ru, windowsupdate.microsoft.com, www.avp.ch, www.avp.com, www.avp.ru, www.awaps.net, www.ca.com, www.f-secure.com, www.fastclick.net, www.kaspersky.ru, www.mcafee.com, www.my-etrust.com, www.nai.com, www.networkassociates.com, www.sophos.com, www.symantec.com, www.trendmicro.com, www.viruslist.ru, www3.ca.com
• Efface un très grand nombre de processus et de valeurs de registre concernant des applications antivirus et de sécurité (firewall)

 
/!\ Darby le très complet et complexe /!\ W32.Darby.B (Symantec), W32/Darby.worm.gen (Mac Afee), WORM_DARBY.O (Trend) et W32/Darby-N (Sophos)
Propagation :  

• Par mail auto-envoyé aux contacts d'Outlook avec sujet en anglais et fichier attaché .pif .com .scr ou .zip
• Par mail en modifiant de nombreuses clés de la BDR afin de transformer le comportement d'Outlook, et en se copiant de manière à servir de Modèle pour les mails en HTML. Le fichier utilisé (microsoftweb.htm) utilise une faille d'Outlook permettant de télécharger un fichier juste en lisant un mail (faille corrigée)
• En se copiant sous de très nombreux noms dans les répertoires partagés de beaucoup de logiciels de P2P
• Par IRC aussi

Symptômes :  

• Une fois exécuté il affiche un message d'erreur en anglais ou espagnol selon les paramètres du pc infecté pour annoncer qu'il est impossible d'ouvrir le fichier car il est défectueux
• Crée une ou plusieurs copie de lui-même dans le répertoire %System% sous un nom aléatoire dont les noms suivants (ACCDEFRAGINFO, CDGGROUPS386, DOSRUNDLDLL, IMAGE0X, KILLUSA, MICROROUTESTAT, NETRUNDLDRV, W2KEXPLORERBRD, W2KRUNDLSET, WINDEFRAGUPD, XPWIEKLIBl) avec comme extension .com .exe .pif ou .scr
• Afin de démarre avec Windows il crée toutes les clés suivantes dans la base de registre : HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Bardiel StubPath = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run ACCDEFRAGINFO = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ACCDEFRAGINFO = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\

CurrentVersion\Winlogon Shell = "EXPLORER.EXE <Malware path>"

• Afin de s'exécuter à chaque lancement d'un fichier .BAT, .COM, .EXE, .PIF ou .SCR sur le pc, il crée la clé suivante @ = "%System%\<Malware path>\"%1\" %*" dans l'arborescnce de la BDR : HKEY_CLASSES_ROOT\batfile\shell\open\command  ; HKEY_CLASSES_ROOT\comfile\shell\open\command ; HKEY_CLASSES_ROOT\exefile\shell\open\command ; HKEY_CLASSES_ROOT\piffile\shell\open\command ; HKEY_CLASSES_ROOT\scrfile\shell\open\command
• Pour désactiver le gestionnaire de tâches et l'éditeur de registre il ajoute les deux valeurs "DisableRegistryTools" = "1" et "DisableTaskMgr" = "1" aux clés [/i]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System[/i] et HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Policies\System
• Afin d'empêcher la correction du problème par l'ajout ou la modification de clés à la BDR il bloque l'usage des fichiers .reg et .key en ajoutant "(Default)" = "GDC" ou clés HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command et HKEY_LOCAL_MACHINE\SOFTWARE\Classes\keyfile\shell\open\command
• Il crée aussi HKEY_LOCAL_MACHINE\SOFTWARE\GedzacLABS\Bardiel.d et HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GEDZAC LABS et s'enregistre comme un service sous le nom "GEDZAC LABS"
• Il modifie l'autoexec.bat (@win %System%\[nom aléatoire du fichier]), le win.ini (run=%System%\[nom aléatoire du fichier]) et le system.ini (shell=Explorer.exe %System%\[nom aléatoire du fichier])

Action :  

• Essaye d'arrêter de très nombreuses applications de sécurité
• Crée un script et l'ajoute à Mirc.ini pour que le virus puisse être envoyé par commandes DCC
• Peut télécharger et exécuter un fichier à partir d'un site web

 
Et maintenant une petite pause vu le temps qu'il a fallu pour compiler tout ça  

Bon finallement j'ai replongé
 
## Vulnérabilités et Bugs dans Gaim ## Gaim MSN SLP Message Handling Buffer Overflow Vulnerability Secunia Advisory 20/10/2004 , Gaim MSNSLP Buffer Overflow May Let Remote Users Execute Arbitrary Code Alertes Security Tracker 20/10/2004 et Gaim MSN SLP Message Handling Buffer Overflow Vulnerability Article K-Otik 20/10/2004 avec les avis originaux sur le site de Gaim ( MSN File transfer DOS (malloc error) , MSN SLP DOS (malloc error) et MSN SLP buffer overflow )
Versions affectées :  Gaim 0.x et Gaim 1.x (=<1.01)
Description :

Solution : passer à la version 1.02 récupérable sur http://gaim.sourceforge.net/downloads.php

On continue    
 
## Faille IE 6 (même pour le SP2)## Microsoft Internet Explorer Drag'n'drop2 Local zone bypass Annonce K-Otik 20/10/2004, Microsoft Internet Explorer Two Vulnerabilities Secunia Advisories 20/10/22004, How to Break Windows XP SP2 + Internet Explorer 6 SP2 et RE: How to Break Windows XP SP2 + Internet Explorer 6 SP2 Security Focus Bugtraq 20/10/2004
Versions Concernées : IE 6, 6 SP1 et 6 SP2
Description :

Solution : pas de solution Microsoft officielle mais

encore un petit truc de rien, voila pourquoi des fois je ne parle pas de certaines failles car j'hésite tant que personne ne répond au 'découvreur' et cette fois-ci avec raison car l'auteur avait exagéré le truc lors de son mail du 15 Octobre au Bugtraq de SecurityFocus
 
## Petit problème dans logiciels Norton ## Symantec Norton AntiVirus Unprivileged Auto-Protection Deactivation Secunia Advisories 18/10/2004 (révisé le 20/10/2004) et le fil de discussion (15/10 au 20/10/2004) sur le Bugtraq de SecurityFocus Norton AntiVirus 2004 Script Blocking Failure (Includes PoC and rant) , 1ère réponse Symantec et 2ème réponse Symantec
Logiciels concernés : Norton Internet Security 2004, Norton Internet Security 2004 Professional et Symantec Norton AntiVirus 2004
Description : Sur Secunia :

Donc contrairement à ce que dit l'auteur du premier mail (découvreur de ce problème) la protection antivirus n'est pas désactivée, seule l'icône n'est plus visible dans le systray. Confirmé par Symantec

une fois n'est pas coutume, un driver et pas un logiciel
 
## Vulnérabilité locale dans driver modem SpeedTouch USB ## Speedtouch USB Driver Format String Flaw May Let Local Users Execute Arbitrary Code Alerte Security Tracker 20/10/2004 et Speedtouch USB Driver Privilege Escalation Vulnerability Secunia Advisories 21/10/2004
Versions touchées : tous les drivers versions 1.x (=<1.3)
Description :

Solution : passer à la version 1.3.1 juste sortie pour corriger ce défaut à l'adresse http://speedtouch.sourceforge.net/ [...] ad.fr.html

précise que c'est pour Linux parce que là, j'ai hésité un peu avant de voir le lien

Un bon problème Windows (pour tout le monde )
 
## Problème Windows et jpeg (encore)## Microsoft Operating System 'asycpict.dll' Lets Remote Users Crash the System Alerte SecurityTracker 15/10/2004 reprise dans le Bulletin US-CERT 13-19/10/2004
Versions concernées : Tous Windows (95, 98, Me, NT, 2000, 2003 et XP)
Description :

Solution : aucune pour le moment

 
oh purée oui, désolé j'avais pas fait gaffe même si je trouvais bizarre d'aller sur soundforge pour un driver
 
de plus ni Secunia ni SecurityTracker ne le disent clairement et j'ai pas fait gaffe à la page de download    
 
je garde ou je vire de la première page?

je sais pas, tu as coutume de ne pas recenser les failles pour autres chose que win ?  
 
moi ça me gêne pas du moment que c'est bien précisé
 
EDIT : je viens de relire la première page, c'est vrai qu'il a pas trop sa place dedans

ouaip, je viens de le balancer sur le topic de tomate chez OSA
 
je le laisse dans cette page mais je le vire du début du topic, merci

bon j'en ai ras le bol pour aujourd'hui donc en ce qui concerne les failles des navigateurs web, je donne juste l'info et je détaillerai dans la soirée ou demain :
 
http://secunia.com/multiple_browse [...] fing_test/ :  
 
Qui concerne Konqueror, Mozilla / Mozilla Firefox, Opera, Netscape, Avant Browser, Maxthon et Safari d'après Secunia mais le test marche aussi sur si on ouvre le lien dans une nouvelle fenêtre (tested à la maison )
En fait pas besoin de cliquer sur le lien c'est un onmouseover simplement avec un delai qui ouvre ensuite une popup javascript et la page d'origine récupère une copie de ce qui est tapé ddedans
 
http://secunia.com/multiple_browse [...] ocus_test/
 
Qui concerne Mozilla / Mozilla Firefox, Netscape, Avant Browser et Maxthon uniquement (le multi-fenêtrage de IE ne permet pas au script de fonctionner).  
Dans ce cas là c'est encore du javascript qui onmouseover prend le focus dans les pages du navigateur (on a donc l'impression de ne rien pour voir écrire sur la page où on veut, alors que les touches tapées sont récupérées à un autre endroit). Cela bloque aussi la recherche de texte sous Firefox
 
Voila plus de détails et de liens plus tard
 
il y aura aussi un problème de parsing (grammaire) html dans Opera, Mozilla et Linx

mouais mais en fait c'est vieux comme le monde ce truc, le javascript s'ouvre sous la fenêtre de citibank ... c'est un piège à con ça... un petit js sur le OnClick ou le OnMouseOver et hop pas con comme truc

ouaip le pb c'est l'acceptation du javascript dans le lien sans qu'on le voit
 
je le vois ni en bas de FF quand je passe la souris y a juste www.citibank.com (de mémoire) et même clic-droit copy link location et coller le texte ne montre que le même truc mais c'est normal car la commande c'est :

C'est reparti tout d'abord avec des virus. J'ai tout d'abord ajouté des détections Trend Micro pour les .emf malformés (bulletin MS-032), puit un petit rappel de vigilance et un Netsky très en dessous de ses prédecesseurs (décevant même )
 
/!\ Microsoft n'envoie pas de mail !!! /!\
VBS/Obvious-A (Sophos)
Petit script en Visual Basic qui s'envoie par mail en se faisant passer pour le service technique de Microsoft. Il essaye de télécharger un code qui pourrait être un ver de la famille des Melissa
Expéditeur : "msupport"
Sujet : "Microsoft Critical Update"
Message : "Dear Windows User
Our Windows watch server has detected that you have not got full protection
against viruses and spyware. Open the attachment to recieve the update manager"
Fichier attaché : le script sous un nom .exe ou .vbs
J'en profite donc ici pour redire que Microsoft n'envoie JAMAIS de message pour des patchs !!!
 
/!\ Un "tout petit" Netsky /!\
W32.Netsky.AE@mm (Symantec), W32/Netsky.ah@MM (Mac Afee), WORM_NETSKY.AI (Trend), W32/Netsky-AE (Sophos) et Win32.Netsky.AG (Computer Associates)
Propagation : par mail (avec expéditeur et destinataire pris dans les carnets d'adresses .dat .dbx .eml .mbx .mdb .tbb .wab et les fichiers dont le nom contient Inbox) avec pour sujet "Mail Delivery failure - %adresse du destinataire%", corps de message "If the message will not displayed automatically, you can check original in attached message.txt. Failed message also saved at: www.%domain.com%/inbox/security/re [...] id-(random 4 digit number) (check attached instructions) +++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com" et un fichier attaché "message txt (bcp d'espaces) length %random number%  bytes (bcp d'espaces) mcafee.com" qui contient en fait le virus en .com ou .exe
Symptômes :  

• Crée un fichier csrss.exe (même nom que le vrai) placé à la racine "c:\" qui une fois exécuté crée [/i]csrss.bin[/i] (non malicieux) au même endroit
• Une clé de BDR pour se lancer au démarrage "Key Logger" = c:\csrss.exe" placé dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

Action : il agit comme un serveur proxy et peut aussi télécharger et exécuter des fichiers sur le pc infecté. Il envoie des notifications HTTP (SYN packets) à des adresse IP aléatoires (parmi 209 qui sont dans son code) sur un port aléatoire situé entre 28032 et 28455. Et il envoie le fichier csrss.bin qui contient des données du pc. une fois tout cela fait, il supprime l'entrée de la bdr.
En fait il y a deux variantes à peu près du même type et elles ont semble-t-il des bugs qui peuvent faire qu'elles ne fonctionnent pas

une petite mise à jour pour apache (faille décrite depuis le mois de juin)
 
## Correctif pour Apache ## Apache mod_proxy "Content-Length:" Header Buffer Overflow Article K-Otik (11/06/2004 mis à jour 22/10/2004).
Rappel : Problème révélé le 11 Juin 2004 pour Apache version 1.3.31 et inférieures

Solution : une solution officielle est maintenant disponible, il s'agit de passer à la version 1.3.32 disponible à http://httpd.apache.org/download.cgi

## Problèmes de grammaire HTML ## Web browsers - a mini-farce SecurityFocus Bugtraq 18/10/2004
Logiciels testés : Opera et Mozilla/Mozilla Firefox
Description : Michal Zalewski a testé différents navigateurs Web

Cela lui a permis de faire "crasher" certains navigateurs avec de simples commandes html. IE a résisté mais comme le dit l'auteur

on peut trouver les exemple pour ces navigateurs (et d'autres uniquement Linux et Unix) à l'adresse suivante  http://lcamtuf.coredump.cx/mangleme/gallery/
Solution : pas de solution malheureusement (j'ai testé un lien avec Firefox et boum un crash ) mais cela ne semble pas potentiellement dangereux, c'est pourquoi pour le moment Secunia n'en a pas parlé

Le dernier Netsky est en fait renommé en "Buchon" (sauf sophos et Kaspersky qui l'appellent baba)
 
et Top10 Trend mis à jour

si ya des solutions tu les posteras ici ou en 1ere page?

quand je mets à jour je le note bien sûr à la fois en première page et en dernier message comme d'hab
 
d'ailleurs demain je donnerai un peu de détails sur les bugs de javascript (soit disant ne touchant que opera, moz/ff, maxthon et avant-browser, puis ils ont rajouté IE 5.2 pour Mac,                        alors que j'ai testé sur IE 6 SP1 à jour et ça fait pareil mais personne ne le dit )
 
et concernant le truc juste au-dessus, avec juste un peu plus de temps le gars a envoyé un nouveau mail sur le bugtraq pour dire qu'il a aussi planté IE
 
j'étais occupé en famille ce we donc j'ai pas pu faire tout ça j'ai juste suivi les infos de sécurité mais j'ai pas retranscrit ici (d'ailleurs y a rarement beaucoup de choses le we)

pas grave du tout,j'étais plus sûr que tu fasses les deux c'est tout.
et encore merci !