trou dans safari
- Créateur du sujet macarel
- Date de début
Jymini a dit:Quoi, tu veux que je te fasse une démo de comment on efface ton home directory en cliquant sur un lien ??
Non, parce que c'est vraiment facile si il s'agit de faire une démo d'exploitation de la faille !
C'est facile en effet une démo. Mais je ne parlais pas de ça. J'attends toujours les témoignages, nombreux, d'utilisateurs dont le répertoire a été effacé après s'être fait avoir. Où sont-ils alors?
supermoquette a dit:
C'est peut-être aussi pour ça que depuis Safari 2, à la fin d'un téléchargement un message (très ennuyeux au demeurant, et lui, non désactivable) apparaît demandant si l'on veut bien décompresser l'archive en question...
WebOliver a dit:
"XXX contient une application (...) "
ça me fait penser que jamais je n'ai tenu compte de ce message, très ennuyeux au demeurant.
A
Anonyme
Invité
Salut tous!
Y'a comme un truc bizarre chez moi. Les tests ont échoué depuis mon G5...
Aucun des fichiers scripts téléchargés ici (posté par iota) et sur le site indiqué en post 1er, ne ce sont lancés automatiquement
Après quoi, je suis allée dans mon dossier "entrée Web" et ai tenté de les ouvrir manuellement, et bien dans mon cas c'est impossible,
même que lorsque j'ai mis en surbrillance l'un des fichiers test_faille, et bien l'application Terminal n'est pas du tout proposée.
Du coup,
j'ai fait ces même test via mon iBook et là, les tests ont fonctionné et comme déjà mentionné, les fichiers mis en surbrillance,
la première application proposée est le Terminal, c'est pas cool ça!
Petite précision non négligeable (compris après coup) :
en fait sur mon G5, le lancement du téléchargement je l'ai fait par Safari et c'est Speed Download qui prend le relais automatiquement,
c'est lui qui télécharge au final.
Donc, je pense qu'il vaut mieux avoir un soft comme Speed Download (payant)
ou autre équivalent (gratuit chais pas s'il en existe) pour télécharger
que de commencer à mettre des patch par ci, par là :siffle:
Y'a comme un truc bizarre chez moi. Les tests ont échoué depuis mon G5...
Aucun des fichiers scripts téléchargés ici (posté par iota) et sur le site indiqué en post 1er, ne ce sont lancés automatiquement
Après quoi, je suis allée dans mon dossier "entrée Web" et ai tenté de les ouvrir manuellement, et bien dans mon cas c'est impossible,
même que lorsque j'ai mis en surbrillance l'un des fichiers test_faille, et bien l'application Terminal n'est pas du tout proposée.
Du coup,
j'ai fait ces même test via mon iBook et là, les tests ont fonctionné et comme déjà mentionné, les fichiers mis en surbrillance,
la première application proposée est le Terminal, c'est pas cool ça!
Petite précision non négligeable (compris après coup) :
en fait sur mon G5, le lancement du téléchargement je l'ai fait par Safari et c'est Speed Download qui prend le relais automatiquement,
c'est lui qui télécharge au final.
Donc, je pense qu'il vaut mieux avoir un soft comme Speed Download (payant)
ou autre équivalent (gratuit chais pas s'il en existe) pour télécharger
que de commencer à mettre des patch par ci, par là :siffle:
A
Anonyme
Invité
Non je ne pense pas, pour extraire j'utilise Stufflt Expander par défaut pour les ZIP et Disk Image Mounter d'Apfel pour les DMG .
Et puis j'suis sous Tiger version 10.4.4 comme indiqué dans mon profil
Et puis j'suis sous Tiger version 10.4.4 comme indiqué dans mon profil
A
Anonyme
Invité
iota a dit:
En effet, je viens de tester à nouveau depuis le G5 avec le fichier Zip que tu as mis en ligne (dmg) et en le décompressant manuellement
avec BOMArchiver, le fichier dmg c'est déclenché via le Terminal, mais pas automatiquement, il a fallu que je clique sur le fichier dmg.
du coup, ne serait-ce pas plutôt BOMArchiver qui serait la cause de cette faille au lieu de Safari
Cela semble être le cas, car iota a cherché à le décompresser à partir du Terminal et cela n'a pas non plus déclenché l'action.lalouna a dit:En effet, je viens de tester à nouveau depuis le G5 avec le fichier Zip que tu as mis en ligne (dmg) et en le décompressant manuellement
avec BOMArchiver, le fichier dmg c'est déclenché via le Terminal, mais pas automatiquement, il a fallu que je clique sur le fichier dmg.
du coup, ne serait-ce pas plutôt BOMArchiver qui serait la cause de cette faille au lieu de Safari
À quand la mise à jour sécurité d'Apple ???
Au delà du problème de Safari, le plus inquiétant à mon avis est la possibilité pour quelqu'un de faire passer un fichier contenant du code malveillant comme étant une image ou une simple vidéo sans que l'utilisateur lambda, j'en suis , ne puisse facilement repérer la supercherie.
Sur windows le problème ne se pose pas en ces termes puisque l'important pour la reconnaissance par les programmes est l'extension du fichier.
, ne puisse facilement repérer la supercherie.Sur windows le problème ne se pose pas en ces termes puisque l'important pour la reconnaissance par les programmes est l'extension du fichier.
TyMor a dit:Au delà du problème de Safari, le plus inquiétant à mon avis est la possibilité pour quelqu'un de faire passer un fichier contenant du code malveillant comme étant une image ou une simple vidéo sans que l'utilisateur lambda, j'en suis
Sur windows le problème ne se pose pas en ces termes puisque l'important pour la reconnaissance par les programmes est l'extension du fichier.
Là tu n'as pas tort... Reste à voir ce que compte faire Apple pour que ça ne se reproduise pas (du moins dans les mêmes conditions).
Sujets similaires
