J'ai bien compris la possibilité de faire un fichier hybride GIF/JAR.
Mais je ne vois pas en quoi c'est une faille de sécurité ? Pour faire exécuter quoi que ce soit, il faut des balises <object> autour non ? Pourquoi il y en aurait autour d'un truc qui est censé être une image ?
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboUn fichier GIF valide commence par "GIF" (suivi de l'année, 87 ou 89), un fichier ZIP (y compris JAR) valide commence par "PK". Donc il y a forcément quelqu'un quelque part qui ne valide pas le fichier correctement.
Désolé mais j'ai du mal à comprendre : même si le site en lui-même utilise Java, pour qu'une telle faille fonctionne, ça suppose que l'affichage des images se base sur un mécanisme qui décide l'action à faire suivant le contenu du fichier et pas sur le contexte, non ? Par exemple, avec un tag <IMG SRC="..."> le truc passé en paramètre ne sera jamais exécuté, même si c'est un .JAR valide (enfin j'espère).
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT TurboTu poses là une balise html, à qui on demandera juste"tu affiches l'img de l'adresse X", mais le html le fera, que l'img existe ou non. Il s'en moque, cela n'a aucun rapport avec ce dont on parle.
Mais si tu lances l'upload d'une img, dans ce qui est décrit plus haut, Java peut vouloir lire des infos sur l'img (est-ce bien un gif malgré l'extension), la retravailler (pour créer des miniatures automatiquement), etc. Tu as l'air de buter sur "avec Java on peut pirater en envoyant un gif", mais ce qu'on montre est une faille comme il en existe partout, avec un contexte spécifique pour être exploitable. En somme ici "on peut injecter du code au moyen d'une fausse img gif". Il y a aussi des failles avec SQL, Flash, ActiveX, etc, et le html ne va pas empécher cela parce que le html est le rendu final, il ne vérifie pas ce qu'on lui envoie mais se charge simplement de l'afficher.
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »
— Legion, geth trolleur à portée galactique
Vista n'est pas la seule cause de cela ^^
C'est surtout grâce aux eeePC et compagnie non ?
Combien de tas de bois une marmotte pourrait couper si une marmotte pouvait couper du bois ?
oui, rien qu'en france ils représentent 10% des ventes de laptop.
Notamment, oui.
Depuis janvier 2007, Linux+userspace a encore fait des progrès en utilisabilité pour le grand public. Les PCs low-cost n'existaient pas en janvier 2007, et ce coût est difficilement atteignable avec Windows, même quand le prix est très nettement baissé par Microsoft. Et caetera.
C'est relativement facile de multiplier par 28 quand on part de chiffres très faibles. Multiplier un million par 28 en un an et demi ne se produira peut-être pas.
"Vistaster" n'est à mon avis qu'au mieux en troisième position sur la liste des raisons qui ont produit le développement des machines préchargées avec Linux+userspace.
combien de cas, à chaque fois ?
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
