Reprise du message précédent :
Voila un lien vers blabla@osa où MJules et Sly Angel en parlent (pour plus de détails)
 
edit : lien

merci

pour info, Microsoft vient d'acquerir la compagnie anti-spyware GIANT software
 
http://www.giantcompany.com/intro. [...] /PIoe.aspx

Merci pour l'info
 
Un patch important à mettre sous XP SP2 (je ne sais pas pourquoi il est Hors-cycle et surtout pourquoi il n'a pas de nom MS04-04?)
 
## Patch pour le SP2 ## Windows XP Service Pack 2 Firewall Critical Update (KB886185) Bulletin K-Otik 15/12/2004
Descriptif :

Versions vulnérables :
XP SP2, XP Tablet PC Edition 2005, XP Media Center Edition SP2
Solution : appliquer le patch Mise à jour critique pour Windows XP (KB886185)

slt, dis minipouss,les derniers patchs (MS4-041 et quelques) correctifs, ils sont pas necessaires si on a aucun service pack? ils veulent pas s'installer du fait que je n'ai meme pas le SP1 et je n'ai pas trouvé d'autres versions...

non y a marqué SP1 et SP2.  
 
le problème c'est est-ce ça veut dire que tu n'es pas vulnérable? ça métonnerai quand même

oui,je parie que je suis vulnérable,mais ça veut dire que si on veut pas de leurs packs,on l'a dans le derche
au prochain format j'installerai xp avec sp1 et je ferai les mises à jour,mais pour le sp2 ils peuvent se brosser,je suis tres content de mon firewall
dis, ya pas moyen d'avoir un GROS fichier qui regroupe toutes les MAJ de sécurité (en dehors des SP biensur) histoire de simplifier quand on veut installer toutes les MAJ apres une installe?

ben tu peux le faire toi même si tu es assez bon pour comprendre le [Topic Unique] Installation automatisée de Windows 2000-XP-2003, moi je n'ai pas pris le temps encore de m'y plonger (et je ne suis pas certain de réussir à tout piger )

Dernières nouvelles du front :
 
Mises à jour du Top10 Trend pour la période du 4 au 16 Décembre
 
Faille IE SP1/SP2 :
 
## IE et DHTML ## Internet Explorer DHTML Edit ActiveX Control Cross-Site Scripting Secunia Advisories 16/12/2004 , MSIE DHTML Edit Control Cross Site Scripting Vulnerability SecurityFocus Bugtraq 15/12/2004 et Microsoft IE dhtmled.ocx Lets Remote Users Execute Cross-Domain Scripting Attacks Alerte SecurityTracker 16/12/2004
Versions concernées : IE 6 SP1 et SP2
Descriptif : La vulnérabilité est due à une erreur dans le contrôle ActiveX d'edition DHTML quand il traite la fonction "execScript()" dans certaines situations. Cela peut être exploité pour exécuter du code arbitraire durant une session denavigation sur n'importe quel site.
Secunia a fait une page permettant de tester la vulnérabilité sur votre pc : http://secunia.com/internet_explor [...] lity_test/
Solution : Mettre le niveau de sécurité au plus haut (ce qui revient à désactiver le support ActiveX)
 
 
Vulnérabilité Computer Associates eTrust EZ Antivirus
 
## Faiblesse CA eTrust EZ Antivirus ## CA eTrust EZ Antivirus Insecure File Permissions Secunia Advisories 16/12/2004 , Computer Associates eTrust EZ Antivirus Insecure File Permission Vulnerability SecurityFocus Bugtraq 15/12/2004 et Computer Associates eTrust EZ Antivirus Unsafe Permissions Let Local Users Gain Elevated Privileges Alerte SecurityTracker 16/12/2004
Versions concernées : 7.0.0 à 7.0.4
Descriptif : Cette vulnérabilité peut être exploitée par un utilisateur local mal-intentionné pour outre-passer certaines restrictions de sécurité ou obtenir une augmentation des droits d'accès au pc. Le problème réside dans le fait que le logiciel donne par défaut des permissions non-sécurisées sur les fichiers installés. Cela permet à n'importe quel utilisateur du systéme de supprimer ou renommer ces fichiers (par exemple le fichier "VetMsg.exe", qui tourne en tant que service). Il est donc possible de désactiver la protection antivirus ou d'exécuter un code arbitraire avec les privilèges du système.
Solution : Mettre à jour vers la version 7.0.5 dispo à http://crm.my-etrust.com/CIDocumen [...] C0EF9C0703
 
 
Et un lien intéressant retraçant la sécurité virale sur l'année 2004 (par F-Secure) : http://www.f-secure.com/2004/

Salut je fais un scan en ce moment avec PestPartrol et il a trouver un truc pas sympa du tout
 
voilà la déscription  
http://pestpatrol.com/PestInfo/h/h@tkeysh@@k.asp
 
je sais pas comment il est arrivé là mais il est là
--> DELETE !!!
 
Edit: et comme vous pouvez le voir il est tout fais puisque il est de ce mois  

ils ne disent pas comment ça a pu venir, dommage
 
mais un bon firewall empêchera de toute façon ce keylogger d'envoyer les infos qu'il a chopées

 
J'ai chopé le même (constaté il y a 2 jours)

Annonce virus (pas pour les particuliers, juste les forums) :
 
/!\ un ver bien Santy vise les forums phpBB /!\ Perl.Santy (Symantec), PERL/Santy.worm (Mac Afee) , Perl/Santy-A (Sophos) , WORM_SANTY.A (Trend) et Santy (F-Secure)
Grosse alerte : Un ver informatique attaque des sites web via une faille phpBB Bulletin K-Otik 21/12/2004 et Alerte Secuser

 
 
 
Failles logiciels connus :  
 
 
## Faille WinRAR ## WinRAR Delete File Buffer Overflow Vulnerability Secunia Advisories 22/12/2004
Versions concernées : 2.x et 3.x (confirmé pour 3.40 et 3.41)
Descriptif : Cette vulnérabilité est due à une "erreur aux limites" dans la gestion des noms de fichier lors de la suppression de fichiers dans les archives. Cela peut être exploité pour créer un "buffer overflow" en amenant un utilisateur à effacer un fichier dans une archive malicieuse ouverte. Une exploitation réussie pourrait permettre l'exécution de codes arbitraires.
Solution : aucune à part ne pas effacer de fichiers dans une archive inconnue
 
## Vulnérabilité dans Spy Sweeper Enterprise ## Spy Sweeper Enterprise Privilege Escalation Vulnerability Secunia Advisories 21/12/2004 et Spy Sweeper Enterprise Windows Tray Icon Lets Local Users Gain Elevated Privileges Alerte SecurityTracker 22/12/2004
Versions concernées : 1.x (confirmé pour la 1.5.1 (Build 3698))
Descriptif : La vulnérabilité est due au fait que le processus "SpySweeperTray.exe" de Spy Sweeper Enterprise appelle la fonction 'aide' avec les privilèges du SYSTEM. Cela peut être exploité pour exécuter des commandes arbitraires sur le pc avec des privilèges élevés.
Solution : passer à la version 2.0
 
 
Grosse annonce de faille non patchée sous Windows et WMP
 
 
## Alerte importante : failles windows dévoilées et non patchées ## Identification de plusieurs failles non patchées sous Windows Alerte K-Otik 24/12/2004
Versions concernées : selon les failles
Descriptif : Trois failles non patchées ont été dévoilées

• Microsoft Windows LoadImage API Integer Buffer overflow (Bugtraq Securityfocus) et Microsoft Windows LoadImage API Remote overflow Vulnerability (Bulletin K-Otik) concerne XP SP1, NT et 2000 (toutes versions) et 2003. elle est détectée par Symantec sous le nom Bloodhound.Exploit.19

  Citation : Une vulnérabilité critique a été identifiée dans plusieurs versions de Windows, elle pourrait être exploitée par un attaquant distant afin de compromettre un système vulnérable. Le problème résulte d'une erreur présente au niveau de l'API LoadImage de la librairie USER32.lib, qui ne vérifie par correctement le champ "size" (taille) des fichiers BMP, CUR, ICO ou ANI, ce qui pourrait permettre l'exécution de commandes arbitraires distantes via une page HTML ou un email contenant une image forgée. Important : Cette vulnérabilité concerne une librairie Windows, elle ne concerne donc pas uniquement Internet Explorer. Tous les logiciels utilisant cette librairie sont potentiellement vulnérables (y compris des navigateurs tiers ou des clients de courrier électronique).

  
  

  • Microsoft Windows Kernel ANI File Parsing Crash and DOS Vulnerability (Bugtraq Securityfocus) et Microsoft Windows Kernel ANI File Parsing Remote DoS Vulnerability (Bulletin K-Otik) concerne XP SP1, NT et 2000 (toutes versions) et 2003.

    Citation : Une vulnérabilité a été identifiée dans plusieurs versions de Windows, elle pourrait être exploitée par un attaquant distant afin de causer un Déni de Service. Le problème résulte d'une erreur présente au niveau de la librairie chargée du traitement des fichiers ANI (curseurs animés), qui ne gère pas correctement les entêtes contenant un numéro de trame égal à "0", ce qui pourrait être exploité via un page HTML malicieuse afin de provoquer le crash du système.

  • Microsoft Windows winhlp32.exe Heap Overflow Vulnerability (Bugtraq Securityfocus) et Microsoft Windows winhlp32.exe Heap Overflow Vulnerability (Bulletin K-Otik) concerne toutes versions de XP, NT, 2000 et 2003.

    Citation : Une vulnérabilité a été identifiée dans plusieurs versions de Windows, elle pourrait être exploitée par un attaquant afin de compromettre un système vulnérable. Le problème résulte d'une erreur présente au niveau de "winhlp32.exe" qui ne gère pas correctement les fichiers ".hlp" contenant des entêtes forgées, ce qui pourrait être exploité afin d'exécuter des commandes arbitraires en incitant un utilisateur à ouvrir un fichier malicieux. Note : Même si cette vulnérabilité nécessite une forte interaction de la part de l'utilisateur, la possibilité d'exploitations automatiques ou semi-automatiques n'est pas à exclure, d'où un risque qualifié d'Elevé par K-OTik Security.

    
    Solution : pas de solution pour le moment
     
     
    ## Windows Media Player et ActiveX ## Windows Media Player ActiveX Control Two Vulnerabilities Secunia Advisories 20/12/2004 , Microsoft Windows Media Player 9 Vulns SecurityFocus Bugtraq 15/12/2004 et Microsoft Windows Media Player setItemInfo Lets Remote Users Execute Arbitrary Code Alerte SecurityTracker 20/12/2004
    Versions concernées : WMP 9.x sur win2000 et XP SP1/SP2
    Descriptif : il y a deux problèmes
    

    • Une erreudans la fonction "getItemInfoByAtom()" du contrôle ActiveX du Windows Media Player peut être exploitée par exemple par un site web malicieux pour déterminer la présence et la taille de fichiers locaux.
    • Certaines erreurs dans les fonctions "setItemInfo()" and "getItemInfo()" du contrôle ActiveX du Windows Media Player peuvent être exploitées par exemple par un site web malicieux pour modifier ou révéler des informations sur un fichier media local (ex. artiste, album et nom de chanson d'un fichier .wma).

    
    Solution : pour XP on doit passer à la version 10 : http://www.microsoft.com/downloads [...] laylang=fr ; pour 2000 pas de nouvelle version donc il vaut mieux, comme de plus en plus souvent, mettre le niveau de sécurité au plus haut (ce qui revient à désactiver le support ActiveX)
     
     
    mise à jour aussi du Top10 US-Cert et nouveau bulletin http://www.us-cert.gov/cas/bulletins/SB04-357.html
     
    

 
 
Attention à ce virus, ce que dit secuser n'est pas tout à fait juste. On a malheureusement testé en live ce ver en début de semaine sur divers forums...
1. Il utilise une exploit de PHP, pas de PHPBB
2. Il n'impacte pas seulement les PHPBB. Des forums IPB et SPIP par exemple ont été mis par terre également. Peut-être d'autres aussi, mais je ne le sais pas.
3. Une mise à jour de PHP en 5.0.3 s'impose...

merci pour cette précision
 
mon quote n'est pas de secuser mais de K-Otik. Mais c'est vrai que K-Otik ne met pas suffisamment cela en avant (juste à la fin dans les solutions)  
 
je modifierai un peu pour la première page dans la journée

Salut à tous
   
Mon pc et ceux des collègues (le tout en réseau)est infecté par VBS/Redlof.A et .2 aussi
je n'arrive pas à trouver une bonne méthode pour supprimer cette crasse. Norton repère les fichiers infectés mais ne sait pas les nettoyer.
 
z'auriez pas un bon filon pour moi pour commencer l'année en beauté.
merci d'avance

http://securityresponse.symantec.c [...] lof.a.html

 
oui, merci, y'a des infos  
 
seulement comme précisé plus haut, Norton les voit, mais ne les nettoie pas.  
 
n'y a-t-il pas d'autre log qui peut les croquer?
AVG aussi les voit mais ne sais rien faire ...  
le scan se faisait en mode sans échec ...

C'est pourtant marqué dans le lien donnéci-dessus qu'il faut effacer à la main:
1. les fichiers détectés par norton
2. les entrées dans la base de registre

[citation=1874206,1600,18][nom]Yoda_57 a écrit[/nom]C'est pourtant marqué dans le lien donnéci-dessus qu'il faut effacer [b]à la main:...
 
ce n'était pas marqué "à la main" et pour un non-spécialiste, ce n'est pas si évident: il y a aussi une fonction delete dans le logiciel de Norton.
Merci tout de même pour la précision. Je vais essayer cette méthode.
 
Sur un pc, y'a 2471 fichiers infectés ... si je dois effacer ça à la main j'en ai pour 5 ans. Y'a plus que le formatage à envisager alors?  

Oups, tu as raison étant sur plusieurs pb de virus en ce moment, j'ai dû en mélanger 2.
 
Euh, clair que tu n'as pas fini avec autant de fichier infectés surtout qu'il faut de toutes façons les réinstaller après un par un...

Voila les news de la rentrée (certaines datant des vacances )
 
Virus :
 
/!\ Un virus s'attaque aux erreurs php /!\ Le ver PhpInclude.Worm attaque les pages php insécurisées Bulletin K-Otik 26/12/2004
Perl.Lexac (Symantec) et  Perl/Spyski.worm (Mac Afee)

 
 
 
Failles mozilla et firefox :
 
 
## Spoofing sous Mozilla et Firefox ## Mozilla / Firefox Download Dialog Source Spoofing Vulnerability Bulletin K-Otik 04/01/2005 et Mozilla / Mozilla Firefox Download Dialog Source Spoofing Secunia Advisories 04/01/2005
Versions concernées : Mozilla 1.7.x (confirmé 1.7.3 sous Linux et 1.7.5 sous windows) et Firefox 1.0, les version inférieures sont sûrement concernées aussi
Description :

Solution : pas de solution pour le moment
 
## Problème sous Mozilla ## Heap overflow in Mozilla Browser <= 1.7.3 NNTP code. SecurityFocus Bugtraq 29/12/2004 , Mozilla Browser NNTP Protocol handling Buffer Overflow Vulnerability Bulletin K-Otik 30/12/2004 , Mozilla "MSG_UnEscapeSearchUrl()" Buffer Overflow Vulnerability Secunia Advisories 30/12/2004 et Mozilla Buffer Overflow in Processing NNTP URLs Lets Remote Users Execute Arbitrary Code Alerte SecurityTracker 30/12/2004
Versions concernées : 1.7.3 et inférieures
Description :

Solution : passer à la version 1.7.5 dispo à http://www.mozilla.org/products/mozilla1.x/
 
 
 
Failles IE :  
 
 
## IE et FTP ## Internet Explorer FTP Download Directory Traversal Vulnerability Bulletin K-Otik 04/01/2005 , Internet Explorer FTP Download Directory Traversal Secunia Advisories 03/01/2005 et Internet Explorer FTP download path disclosure SecurityFocus Bugtraq 30/12/2004  
Versions concernées : confirmé avec IE 5.01, 5.5 et 6 sous XP SP1 et 2k SP4 patchés (XP SP2 non vulnérable)
Descriptif :

Lors de la sauvegarde d'un fichier provenant d'un serveur FTP dans un répertoire local, celui-ci est enregistré sous 'rép_local/nom_fichier'; donc si le nom du fichier contient '../', la destination réelle du fichier est modifiée et il peut être sauvegardé n'importe où sur le disque dur local. Même si il est impossible de créer un fichier dont le nom contient les caractères '../', un serveur FTP peut répondre une requête LIST avec ces caractères comme nom de fichier; donc un serveur FTP malicieux peut modifier l'emplacement de la sauvegarde d'un fichier.
Solution : Pas de solution à part changer de navigateur ou ne pas utiliser IE pour le ftp sur des serveurs non sûrs
 
## IE et Help ## Microsoft Internet Explorer HTML Help Control Local Zone Bypass Bulletin K-Otik 25/12/2004 , Microsoft Internet Explorer SP2 Fully Automated Remote Compromise SecurityFocus Bugtraq 25/12/2004 et Remote code execution with parameters without user interaction, even with XP SP2 SecurityFocus Bugtraq 28/12/2004  
Versions concernées : confirmé avec IE 6 sous XP SP1/SP2 et Server 2003
Descriptif :

Solution : Mettre le niveau de sécurité de la zone Internet à "Elevé" ou changer de navigateur

Info à lire. C'est pas tout neuf je pense mais utile quand même car ce moyen va se développer pour propager les virus exploitant les différentes failles non patchées de IE ou  Windows
 
http://www.pcworld.com/news/articl [...] 016,00.asp
 
en gros, il y a moyen simple de détourner des fichiers média (wma par exemple) pour faire aller un utilisateur sur une page web contenant par exemple des scripts malicieux exploitant des failles. Heureusement les éditeurs antivirus détectent de plus en plus ces exploitations de vulnérabilités.
 
 
 
 
 
 
Au fait, BONNE ANNEE à tous

Bonne année Minipouss, et surtout "keep up the good work" pour 2005
 
Encore un peu pour bien attaquer :
http://www.securiteam.com/securitynews/6E00R2KC0C.html
http://ferruh.mavituna.com/article/?769

Merci
 
pour le ftp en smtp ça manque de précision, dommage
 
pour celui des firewalls, j'en avais marre et je le gardais pour demain donc j'ajouterai ton lien dans le message

Salut, j'ai un pote qui m'a envoyé un mail me disant qu'il a reçu un mail de ma part pour la nouvelle année avec le virus NETSKY en pièce jointe, il me conseille donc de checker mes disques durs...Bien sûr je n'ai envoyé aucun mail et dans ma liste de message envoyés, j'ai rien non plus
 
Mon compte e-mail est chez Yahoo, je ne le consulte que sur le site directement (pas de pop), cet ami est dans ma liste de contact, et mes pc ne semblent pas infectés après un scan antivirus...
 
Ca vient forcément de mes PC ou c'est quelqu'un qui nous a dans ses contacts
Je recois aussi énormément messages avec "Mail Delivery (failure mon-adresse@yahoo.fr)" comme objet alors que j'ai rien envoyé
 
Merci

Certains vers envoient des messages en prenant leurs adresses dans les contacts-list pour brouiller les pistes.

 
http://www.k-otik.com/news/08312004.Guillermito.php
 
:|

Ca suxe
En esperant que le délibéré soit plus clément.

il aidait les concepteurs de l'antivirus en montrant une faille et il s'en prend plein la gueule?

Ben il aidait les concepteurs mais pas les marketeux...

Ok merci...
 
Donc ca vient pas forcémment de moi (j'ai aucune adresses e-mail qui trainent sur mes durs) ?

le problème, c'est que si éthiquement et moralement, ce que fait cette société est ignoble, au bout du compte, du point stricte de la loi, il est en tort.

Bienvenue pour ton retour ici PioupiouM  
 
où est la limite entre loi et éthique? pas évident à trouver

Yop minipouss

Nouveau Top10 et bulletin US-CERT : http://www.us-cert.gov/cas/bulletins/SB05-005.html
 
Bonne nuit à tous

Salut

'lut
 
kk1 a testé l'anty spyware de microsoft ??
 
http://www.clubic.com/actualite-17 [...] nible.html
 
ca vaut quoi ce truc ?

ici c'est virus et failles
 
pour les spy c'est dans le tuto de Sanpellegrino et Darxmurf (2ème de ma signature) (d'ailleurs ils en parlent à la fin du topic)

oué, enfin, on peut considéré spyware comme virus. mais bon, pas grave, mille excuses