Reprise du message précédent :
jamais ( et de toute façon mes petites connaissances en informatique ne me le permettrait pas )
 
au fait finalement c'est important de mettre les problèmes de Samba ici ou pas vous en pensez quoi? car si j'ai bien compris ceux qui utilisent Samba doivent avoir du Windows quelque part non?

euh oui,  dans un réseau full unix, on utilisera plutôt NFS qui est plus souple

donc ? je laisse ou pas? ou plutot je continue ou pas?

moi, ça me dérange pas ; je pense que ça a sa place ici

ok je continue alors

need for speed tourne sous unix??? eh beh!

pas mal en effet

/!\ premier virus utilisant la faille patchée MS04-032 (fichier metafile mal formé) /!\ Alerte - Un nouveau ver exploite la vulnérabilité Windows Metafile Images Alertes K-Otik 16/11/2004 , W32.Scard (Symantec), W32/Golten.worm (Mac Afee) , WORM_GOLTEN.A (Trend) et  Win32.Golten.A (Computer Associates)
Propagation :  

• Une fois sur un pc il essaye de se propager par attaque NetBIOS dans les répertoires partagés des pcs du réseau local IP$ (ie si l'IP du PC est a.b.c.d il cherche dans le réseau les IP allant de a.b.c.1 à a.b.c.254) et si il obtient les droits administrateurs (il teste une liste prédéfinie de login et mot de passe), il se copie (sous le nom alerter.exe ou alerter16.exe) sous \\<machine cible>\ADMIN$\System32\Alerter.exe  
• Mail avec comme sujet "Latest News about Arafat!!!", corps de message "Hello guys!

Latest news about Arafat!
Unimaginable!!!!!" et deux fichiers attachés arafat_1.emf qui est un vraie image des funérailles et arafat_2.emf qui est fichier malicieux exploitant la faille MS04-032 et qui sera détecté comme Bloodhound.Exploit.17 (Symantec), Exploit-MS04-032!gdi (Mac Afee), EXPLOIT-MS04-032 (Trend) et Win32.MS04-032!exploit (Computer Associates)
Symptômes :  

• copie les fichiers suivants dans le répertoire %System% : Alerter.exe, SPO0LSV.EXE , sptres.dll. Le virus modifie la date des deux derniers fichiers en 19/07/2002 9:48:48 afin de mieux les masquer
• modifie le chemin vers le service d'alerte windows dans la base de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter "ImagePath"[i]. La vraie valeur est [i]%SystemRoot%\System32\svchost.exe -k LocalService et la nouvelle devient %SystemRoot%\System32\Alerter.exe
• copie le fichier suivant dans le répertoire %System et l'exécute : spc.exe qui est en fait un trojan backdoor qui installe ensuite comwsock.dll, dmsock.dll, inetcfg.h, mst.tlb, SCardSer.exe

Actions :  

• injecte la dll sptres.dll dans le processus explorer.exe
• le trojan injecte ses dll dans les processus suivant : explorer.exe iexplore.exe inetinfo.exe lsass.exe msimn.exe msmsgs.exe msnmsgr.exe outlook.exe qq.exe et svchost.exe. Ces dll permettent d'ouvrir des backdoors sur des ports TCP aléatoires avec les processus précédents
• le trojan crée aussi un service nommé NetLog par les clé suivantes HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlog et HKEY_LOCAL_MACHINE\SYSTEM\Enum\Root\LEGACY_NETLOG avec pour caractéristiques Nom: netlog, Chemin: %SystemRoot%\system32\SCardSer.exe et Description: Net Login Helper

c'est quoi les metafile images?
ya pas de solution pour le moment j'imagine,sinon tu l'aurais mis...non?

alors les fichier images Metafile sont les .wmf (Windows MetaFile) et .emf (MetaFichiers améliorés)
 
bien sûr qu'il y a une solution vu que je parle de MS04-032 (du moment qu'il y a un numéro de Bulletin cela signifie patch)
 
c'est donc un truc patché depuis le mois d'Octobre

ah,dsl,zavé pas fait le rapprochement

ok alors je viens de modifier le titre de la news en ajoutant le mot "patchée" (pour les gens comme toi )

petite mise à jour pour ajouter :
 
la détection de Sophos pour Golten (que Sophos appelle Mofei !)
 
le renommage de tous les derniers Mydoom chez symantec en Bofra (de A à D car pour le E ils étaient déja passé à ce nom ))

## Problèmes avec le patch MS04-039 : Microsoft ISA Server 2000 and Proxy Server 2.0 Vulnerability## Article K-Otik 17/11/2004

Il faudra réinstaller le patch dans les cas suivants :

• si vous avez ISA Server 2000 Service Pack 1. Tous les fichiers nécessaires à la mise à jour n'étaient pas présent dans le patch, cela pouvait entrainer trois types de problèmes avec Web Proxy ou Firewall : CPU à 100%, les services ne démarrent pas ou se ferment sans raison
• si vous avez Win2k SP3. Le patch prévu pour le SP3 demandait pour s'installer la présence du SP4.

Trois problèmes dans IE  
 
## Deux problèmes dans IE ## Microsoft Internet Explorer Two Vulnerabilities Secunia Advisories 17/11/2004  
Versions concernées : IE 6 (SP1 et SP2)
Description :  
1/ Microsoft Windows XP SP2 a un dispositif de sécurité qui prévient l'utilisateur quand il ouvre un fichier téléchargé de certains types. Le problème est que si le fichier téléchargé a été envoyé avec un en-tête HTTP "Content-Location", dans certaines situations il n'y aura pas d'avertissement de sécurité à l'ouverture de ce fichier.
2/ Une erreur lors de la sauvegarde de certains documents en utilisant la fonction Javascript "execCommand()", peut être exploitée pour masquer l'extension dans la boite de dialogue "Sauvegarder un Document HTML". Pour cela il faut que l'option "Masquer les extensions pour les types de fichiers connus" soit activée (par défaut sous windows).
Une exploitation combinée des 2 est bien sûr possible  
Solution : Il faut comme d'habitude désactiver Active Scripting et décocher l'option "Masquer les extensions pour les types de fichiers connus" dans les options de l'explorateur windows.
 
## IE et les cookies ## Microsoft Internet Explorer Cookie Path Attribute Vulnerability Secunia Advisories 17/11/2004 et A Possibility of Cookie Overwrite in Microsoft Internet Explorer Security Focus Bugtraq 17/11/2004
Versions concernées : IE 6 et IE 6 SP1 (pas le SP2)
Description : Sous certaines conditions un cookie malicieux peut en remplacer un qui est valide, mais c'est difficilement exploitable quand même

Solution : Les personnes sous XP peuvent passer au SP2. Il est aussi toujours possible de faire attention dans la gestion des cookies (lire l'article du bugtraq)

Attention nouvelle version du virus Sober !!! il arrive par mail en allemand ou anglais et pièce jointe (à ne pas cliquer comme d'hab )
 
très peu de détails pour le moment chez les éditeurs mais ça risque d'être important. Donc plus d'info cet après-midi je pense

/!\ Nouvelle version de Sober /!\ W32.Sober.I@mm (Symantec), W32/Sober.j@MM (Mac Afee) , W32/Sober-I (Sophos) , WORM_SOBER.I (Trend) , Win32.Sober.I (Computer Associates) et Sober.I (F-Secure)
Propagation : par mail

• adresse destinataire trouvée dans les fichiers sur le disque dur, le virus scanne les fichiers avec les extensions suivantes : [/i]abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp imb imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods oft php pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml[/i].  
• l'expéditeur est choisi dans la liste des adresses trouvées sur le pc ou est construit à partir d'une liste de noms prédéfinis codée dans le virus et du domaine du destinataire
• corps de message en anglais ou allemand (les domaines .de .ch .at .li et .gmx recevront le message en allemand) qui incite à lancer la pièce jointe pour diverses raison. Il peut même y avoir un texte disant que la pièce jointe est certifiée non vérolée  
• pièce jointe avec un des noms suivants : stuff, your_docs, private, ohyeah, photo, shock, thatshard, oh_no, article, more_infos, ReMailer, EM., mail, check_this, p_message, yourmail, idiot, painfulness, Jokers, Kundeninfo, ReMail, EM., mail, Jokes, Kundeninfo, Benutzer-Daten, -tarif, Antitext, lese-das, Aufpassen, Tools, daten, Foto, bild, hallo.zip avec comme extension .pif, .zip, .scr, .bat .com. Ou alors le nom du fichier est construit de la manière suivante [domaine du destinataire].[doc eml txt word xls DOC TXT ou EML].zip

Symptômes :  

• à l'exécution de la pièce jointe il affiche une popup d'erreur titrée "WinZip Self-Extractor" avec le texte "WinZip_Data_Module is missing ~Error: {2A0DCCF6}"
• se copie dans le répertoire %system% sous un nom [aléatoire].exe composé à partir des chaines suivantes : 32 crypt data diag dir disc expoler host log run service smss32 spool sys win
• s'installe dans la BDR sous les clé RUN (HKLM et/ou HKCU) afin de démarrer "[aléatoire_1]" = "%System%\[aléatoire].exe"
• les adresses et nom d'utilisateurs collectés sont stockés dans les fichiers winroot64.dal

et winsend32.dal dans le répertoire %system%

• crée aussi les fichiers suivants toujours dans le répertoire %system% : dgssxy.yoi sysmms32.lla cvqaikxt.apk Odin-Anon.Ger de taille O octet qui servent à désactiver d'éventuelles versions précédentes de Sober sur le pc infecté, clonzips.ssc clsobern.isc  diagdatacrypt.exe  expolerlog.exe nonzipsr.noz zippedsr.piz qui sont des copies cryptées et archivées ou packagée UPX qui servent à l'envoi par mail du virus

Action : il semble qu'il peut télécharger et exécuter un fichier par le port TCP 37

## risque DoS dans Zone Alarm Pro ## ZoneAlarm Advertising Blocking Denial of Service Vulnerability Secunia Advisories 19/11/2004
Versions concernées : ZA Pro 3.x 4.x et 5.x ainsi que ZA Security Suite 5.x  
Description :

Solution : passer à la version 5.5.062 ou plus, ou vérifier les mises à jour par la fonction"Update"

l'alerte est vachement diffusée pour Sober :
 
http://www.k-otik.com/news/20041119.SoberI.php
 
http://www.secuser.com/alertes/2004/soberi.htm

bah,c qu'un virus par mail,je crains pas grand chose
par contre,j'ai bien fait de passer à Sygate Firewall, ZoneAlarm c du caca en boites

c'est juste un tout petit problème (risque faible) sur la version pro
 
pour les virus, c'est clair qu'il suffit dans 95% des cas de se servir de son cerveau

si en plus c'est juste sur la version payante,ça fait une super pub pour leur soft je trouve!!!  
"prenez donc la version payante,vous aurez acces à des failles inédites!"

je ne pense pas (mais je ne le connais pas non plus hein) que la version gratuite ai la blocage de pub non?

euh,je sais plus,j'ai laché ce soft ya 9mois.

On y retourne après une petite pause week-end :
 
## Problème dans Opera avec Java ## Java Vulnerabilities in Opera 7.54 SecurityFocus Bugtraq 19/11/2004, Opera Java Sandbox Flaws Let Malicious Applets Access System Information and Crash the Browser Alertes Security Tracker 19/11/2004 et Opera "sun.*" System Information Disclosure Weakness Secunia Advisories 22/11/2004
Versions concernées : Opera 7.x (confirmé pour la 7.54)
Description :  

• Le package java fourni avec Opera contient la version 1.4.2_04 qui a de nombreux problèmes connus et résolu dans les dernières versions de java SUN
• Opera accède à JRE (Java Runtime Environment) directement au lieu d'utiliser une plugin java.

  Citation : It is reported that Opera's custom Java plugin has a flaw in the default Java policy configuration. The policy grants applets access to internal sun-packages: grant { permission java.lang.RuntimePermission "accessClassInPackage.sun.*"; }; This access may let the applet invoke potentially destructive behavior or cause crashes.

  
  Solution : passer à la version 7.60 Beta et je dirai aussi qu'il vaut mieux télécharger Java à part pour être à jour niveau Sécurité
   
   
  ## Problème local dans eTrust Antivirus ## eTrust EZ Antivirus Password Protection Can Be Bypassed By Local Users Alertes Security Tracker 19/11/2004
  Versions concernées : Computer Associates eTrust EZ Antivirus =< 7.0.2.0
  Description : Un utilisateur local peut passer au-travers du système de protection du mot de passe et obtenir celui-ci
  Solution : passer à la version 7.0.2.1 ou supèrieure
   
   
  ## Cross Scripting dans Gmail ## Gmail 'zx' Variable Input Validation Bug Lets Remote Users Conduct Cross-Site Scripting Attacks Alertes Security Tracker 20/11/2004
  Description : Par le biais d'un site avec un code html malicieux, un attaquant distant peut accéder aux cookies Gmail stockés sur le pc (même le cookie d'authentification). Il peut alors connaitre les dernière données tapées par cet l'utilisateur via les formulaires du site Gmail et même se faire passer pour l'utilisateur en allant sur le site pour faire ce qu'il veut.
  Solution : il semblerait que cela soit corrigé mais pas de confirmation officielle. Il faut faire attention de ne pas surfer n'importe où
   
   
  ## vulnérabilité dans Java SUN (très critique) ## Sun Java Plug-in Sandbox Security Bypass Vulnerability Secunia Advisories 23/11/2004 et Security Vulnerability With Java Plug-in in JRE/SDK bulletin Sun 22/11/2004
  Versions concernées : Sun Java JRE et SDK =<1.3.1_12 , =<1.4.2_05 toutes les 1.4.1_x et 1.4.0_x
  Description :

  Citation : The vulnerability is caused due to a design error, as JavaScript code can create and transfer objects to untrusted applets for some private and restricted classes used internally by the Java Virtual Machine (JVM). This can e.g. be exploited by a malicious web site to turn off the Java security manager and disable the sandbox restrictions for untrusted applets.

  
  Solution : une bonne raison de plus pour passer aux nouvelles versions sorties il y a un bon moment déja 1.3.1_13 et 1.4.2_06 (voire même la 1.5 nommée aussi 5.0)
   
   
  ## vulnérabilité dans WinAmp (très critique) ## Winamp "IN_CDDA.dll" Buffer Overflow Vulnerability Secunia Advisories 23/11/2004
  Versions concernées : WinAmp 5.x (confirmée pour la 5.05)
  Description : La vulnérabilité est due à une erreur dans le fichier "IN_CDDA.dll". Cela peut être exploité par différents moyens pour causer un "stack-based buffer overflow", par exemple en amenant un utilisateur à visiter un site web contenant une playlist ".m3u" spécialement malformée. Une exploitation réussie permet à son auteur de pouvoir ensuite exécuter des codes arbitraires sur le pc.
  Solution : passer à la version 5.06 disponible à http://www.winamp.com/player/

  
  Message édité par minipouss le 23-11-2004 à 16:51:19
  
  ---------------
  "Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
  

/!\ Encore Iframe /!\ Alerte - Attaques multiples via la faille IFRAME d'Internet Explorer Article K-Otik 21/11/2004
Cette faille non patchée continue à être exploitée à fond. J'espère au moins que MS fournira le patch début Décembre (si c'est déja corrigé ils ne devraient même pas attendre le 2ème Mardi du mois)

Virus Yanz
 
/!\ Virus Yanz /!\ W32.Yanz.B@mm (Symantec), W32/Yanz.b@MM (Mac Afee) et W32/Favsin-A (Sophos)
Propagation : mail et P2P

• adresse destinataire trouvée dans les fichiers sur le disque dur, le virus scanne les fichiers avec les extensions suivantes : [/i]adb asp dbx doc htm html jsp rtf txt xml[/i].  
• l'expéditeur est construit à partir d'une liste de noms prédéfinis codée dans le virus et du domaine du destinataire (contient les Yanzi ou singer)
• sujet (contient Yanzi, singer ou I hate spyware) et corps de message qui contient dans 90% des cas au moins Yanzi
• pièce jointe avec un des noms suivants : Sun_YanZi, Huai_Tian_Qi, Sun_Yanzi_Mp3, Great_Asia_Singer, World_Tour_Sun_YanZi avec comme extension .pif, .zip, .scr.
• par P2P il se copie dans les répertoires comportant le mot"shar" sous un nom de fichier qui contient Yanzi puis une extension en .avi .mp3 .mpeg .mpg puis .exe

Symptômes :  

• lors de son exécution il affiche une popup titrée "Windows Panic" avec le texte "No Windows. Yes doors and holes."
• se copie dans le répertoire %system% sous les noms Dong_Shi.exe et NvCpl.exe
• s'installe dans la BDR sous la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run afin de démarrer "NvCpl"=%System%\NvCpl.EXE avec Windows
• crée aussi les fichiers suivants : C:\Yanzi.htm, %Windir%\Sun_YanZI.zip  (fichier zip qui contient Sun_Yan_Zi-Shen_Q1.mp3.pif - une copie du virus), %System%\Huai_Tian_Q1.sys (fichier zip MIME-Encodé qui contient Sun_Yan_Zi-Shen_Q1.mp3.pif - une copie du virus), %System%\I_am_Sun_Yanzi.sys (le virus MIME-Encodé)et YanZi.vbs créé dans le répertoire courant (là où les pièces jointes sont stockées)

Action :

• YanZi.vbs est exécuté automatiquement. Il crée et lance sun.exe
• sun.exe crée 3 fichiers jpg qui ont pour préfixe "SuN" dans le répertoire %Temp%
• les fichiers jpg sont ouverts. 2 sont des images de visages de femmes asiatiques, mais le troisième est un jpg mal formé qui essaye en exploitant la faille patchée au mois de Septembre MS04-028 (JPEG/GDI+)de télécharger et exécuter un trojan (sauvegardé en tant que m00.exe)

 
la première page sera mise à jour tout à l'heure avec aussi le virus Anzae/Inzae

Et voila Anzae/Inzae, virus très destructeur (heureusement en espagnol on peut penser que les gens n'ouvriront pas le .zip attaché et ne lanceront pas le .pif qui est dedans
 
/!\ Virus Anzae/Inzae destructeur de fichiers /!\ W32.Inzae.A@mm (Symantec), W32/Anzae.worm.a (Mac Afee) , W32/Anzae-A (Sophos) et WORM_ANZAE.A (Trend)
Propagation : mail en espagnol avec sujet en "Re:" et pièce jointe en  .zip contenant le virus en .pif (il faut donc en vouloir pour le lancer )
 
Symptômes :  

• lors de son exécution il affiche une série de popups en espagnol et un compteur de 0 à 50. Puis une dernière image blanche qui remplit l'écran avec écrit "Pulse CONTROL + 0 + 8 + N + 6 PARA PASAR VER LAS FOTOS SIGUIENTES..."
• se copie sous le nom %System%\svchosl.pif
• s'installe dans la BDR sous la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run afin de démarrer "Svchost"="%System%\svchosl.pif" avec Windows
• crée aussi les fichiers suivants dans le répertoire %system%: inzax.exe, sw.exe, sx.exe, sz.exe et m.zip
• il se copie aussi dans tous les disques C D E et F sous les noms codm, extasis8.pif, inzae.pif, ph003.pif, rd2_roberto.pif, simbolic3.pif et sin_mas_menos.pif

Action : il efface tous les fichiers du disque sur lequel il est lancé comportant les extensions suivantes .asm .asp .bdsproj .bmp .c .cpp .cs .csproj .css .doc .dpr .frm .gif .h .htm .html .iso .jpeg .jpg .mdb .mp3 .nfm .nrg .pas .pcx .pdf .php .ppt .rar .rc .rc2 .reg .resx .rpt .sln .txt .vb .vbp .vbproj .wav et .xls (autant dire tous les fichiers de type courants pour des données perso ou de boulot)
 
et première page mise à jour avec ça

une petite faille dans WinFTP serveur :
 
## problème local dans WinFTP Serveur ## WinFTP Server Clear Text User Credential Disclosure Secunia Advisories 24/11/2004
Versions concernées : WinFTP Serveur 1.x (confirmée pour la 1.6)
Description : Il existe une problème dans WinFTP Serveur pouvant être exploité par des utilisateurs locaux mal-intentionnés pour prendre connaissance d'informations sensibles. Le problème est que les créances des utilisateurs sont stockées au format texte et en clair dans le fichier "data\user.wfd", qui de plus est accessible en lecture à n'importe quel utilisateur local sur le pc.
Solution : ne laisser l'accès sans surveillance au pc qu'à des utilisateurs de confiance

nouveau Bulletin US-CERT : http://www.us-cert.gov/cas/bulletins/SB04-329.html
 
top10 mis à jour

petite mise à jour concernant le problème WinAmp
 
## vulnérabilité dans WinAmp (très critique) ## Winamp "IN_CDDA.dll" Buffer Overflow Vulnerability Secunia Advisories 23/11/2004 , Winamp - Buffer Overflow In IN_CDDA.dll SecurityFocus Bugtraq 23/11/2004 et Winamp "IN_CDDA.dll" Remote Buffer Overflow Vulnerability Article K-Otik 23/11/2004  
Versions concernées : WinAmp 5.x (confirmée pour la 5.05)
Description : La vulnérabilité est due à une erreur dans le fichier "IN_CDDA.dll". Cela peut être exploité par différents moyens pour causer un "stack-based buffer overflow", par exemple en amenant un utilisateur à visiter un site web contenant une playlist ".m3u" spécialement malformée. Une exploitation réussie permet à son auteur de pouvoir ensuite exécuter des codes arbitraires sur le pc.
Solution : passer à la version 5.06 disponible à http://www.winamp.com/player/ mais il semblerait que cela ne règle pas le problème ( Winamp - Buffer Overflow In IN_CDDA.dll [Unpatched] SecurityFocus Bugtraq 24/11/2004 )donc le plus simple est de désassocier les .cda et .m3u d'avec Winamp pour éviter toute ouverture automatique

vive winamp 2.9!

## Encore IE et sauvegarde de fichiers ## Microsoft Internet Explorer "Save Picture As" Image Download Spoofing Secunia Advisories 26/11/2004  
Versions concernées : IE 6 (SP1 et SP2)
Description : Cette vulnérabilité est due au fait qu'Internet Explorer utilise l'extension donnée dans l'URL quand il sauvegarde des images avec la commande "Save Picture As" et qu'il masque la dernière extension si il y en a plusieurs. Cela peut être exploité par un site web pour faire télécharger une vraie image contenant un code malicieux et la sauvegarder avec une extension arbitraire.
Solution : Attention pas de patch pour ça mais un exploit a été rendu public, cela pourrait être utilisé par différents sites webs malicieux. Cependant il suffit de décocher l'option "Masquer les extensions pour les types de fichiers connus" dans les options de l'explorateur windows pour se rendre compte de la vraie nature d'un fichier.

Juste un petit post pout féliciter Minipouss pour son travail  
 
 

pareil

Merci Messieurs
 
Bon voila quelques failles Ms et WS_FTP à se mettre sous la dent
 
## Vulnérabilité dans WINS ## Microsoft Windows WINS Replication Packet Handling Vulnerability Secunia Advisories 29/11/2004 , Microsoft Windows Internet Name Service (WINS) Vulnerability Article K-Otik 29/11/2004 et Microsoft WINS Memory Overwrite Lets Remote Users Execute Arbitary Code Alertes Security Tracker 27/11/2004    
Versions concernées :  

• Win 2000 : Advanced Server, Datacenter Server et Server
• Win NT 4.0 : Server et Terminal Server Edition
• Win Server 2003 : Datacenter Edition, Enterprise Edition, Standard Edition et Web Edition

Description :

Solutions : pas de solution officielle pour le moment. Il est possible de résoudre ce problème en bloquant par firewall le traffic au service WINS sur le port 42 en tcp et udp ; ou en désactivant le service WINS si il n'est pas utilisé
 
 
## IE SP2 dragNdrop et fichier d'aide ActiveX ## Microsoft Help ActiveX Control Related Topics Local Content Accessing Vulnerability SecurityFocus Bugtraq 27/11/2004  
Version concernée : trouvée sous IE 6 (6.0.2900.2180) MSHTML.dll (6.00.2800.1400) et Win XP Home SP2
Description : Cette faille est une amélioration du bug déja décrit dans "Faille IE 6 (même pour le SP2)" (lire ci-dessous et bientôt en archive car cette info date du 20/10/2004). La faille trouvée en octobre par http-equiv (malware.com) nécessitait un clic sur un bouton par l'utilisateur. La nouvelle exploitation, appelée LongNameVuln n'a plus besoin de ce clic et donc tout peut se passer à l'insu de l'utilisateur et le site web malicieux peut accéder à une page locale sur le pc (en utilisant les commandes de l'aide des contrôles ActiveX)
Solution : rien pour le moment à part je pense toujours désactiver Active scripting
 
 
## Vulnérabilité dans WS_FTP Serveur ## WS_FTP Buffer Overflow in Processing Certain FTP Commands Lets Remote Users Execute Arbitrary Code Alertes Security Tracker 29/11/2004 et Multiple buffer overlows in WS_FTP Server Version 5.03, 2004.10.14. SecurityFocus Bugtraq 29/11/2004  
Versions concernées : 5.03 du 14/10/2004
Description : Plusieurs buffer overflows existent dans WS_FTP Server. Il y a 4 commandes vulnérables qui peuvent être utilisées pour les créer. Trois de ces commandes vulnérables peuvent être utilisées pour stoper le service de WS_FTP Serveur, donnant un Denial of Service. Ces commandes sont SITE, XMKD, MKD, and RNFR. Un exploit a été publié, le fournisseur de WS_FTP n'a pas donner de réponse depuis sa mise au courant du problème.
Solution : pas de solution
 
 
 
Et aussi une info montrant que l'US-CERT et les grosses boîtes d'antivirus semblent vouloir essayer de créer le CME (Common Malware Enumeration) pour uniformiser les appellations des plus gros virus. Ce serait pas un mal car en ce moment ras-le-bol d'avoir 2-3 noms pour un même virus
http://isc.sans.org/diary.php?date=2004-11-23 (plus bas dans la page sous le titre Open Letter To Anti-Virus Software Companies - A Response et http://www.cbronline.com/article_n [...] D8F44E055C

mais quel boulot!
incroyable minipouss...

eh beh,c'est de la bombe ce SP2 et ses failles

ça m'amuse de fouiller un peu tout ça (j'arrêterai peut-être le jour où je serai plus au chomage aussi car j'aurais sûrement moins de temps)
 
Bah oui Vanloque comme tout logiciel il y a et il y aura toujours des failles, même dans le SP2 (et même si MS a "par avance" corrigé des vulnérabilité par le SP2 pour pouvoir dire pendant quelques mois après sa sortie "vous voyez le SP2 c'est beaucoup mieux" ).
 
ce qui me gave surtout c'est cette politique du 2ème mardi de chaque mois. je suis ok quand il s'agit de faille mineure ou qui n'ont pas été rendues publique avec un "proof of concept" qui explique comment l'exploiter. C'est lamentable de voir que pendant 1 mois ce sont les antivirus qui protègent les utilisateurs des produits microsoft pour une faille de IE quand même.