1050

si le fichier s'appelle GIF, il sera image/gif mais je pense pas que la JVM en ait grand chose à faire smile

techniquement un GIF néglige tout padding à la fin de ce qu'il attend, et un fichier ZIP référence ses données à partir du central directory, à la fin du fichier, et néglige tout ce qui se trouve avant le début logique. ça a été fait pour les embarquer dans des exécutables.

1051

J'ai bien compris la possibilité de faire un fichier hybride GIF/JAR.

Mais je ne vois pas en quoi c'est une faille de sécurité ? Pour faire exécuter quoi que ce soit, il faut des balises <object> autour non ? Pourquoi il y en aurait autour d'un truc qui est censé être une image ?
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1052

Un fichier GIF valide commence par "GIF" (suivi de l'année, 87 ou 89), un fichier ZIP (y compris JAR) valide commence par "PK". Donc il y a forcément quelqu'un quelque part qui ne valide pas le fichier correctement.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

1053

ué voila l'idée c'est par exemple d'uploader un gifar sur un site style fessebouque ou flickr et après tu peux t'en servir comme stockage distribué de véroles grin

1054

squalyl (./1053) :
ué voila l'idée c'est par exemple d'uploader un gifar sur un site style fessebouque ou flickr et après tu peux t'en servir comme stockage distribué de véroles biggrin.gif
L'article avait l'air de dire que juste en visitant un de ces sites l'appli Java pouvait s'exécuter ?

(parce que si c'est juste la possibilité de stocker une appli Java sur un site qui n'est censé accepter que des images, bof quoi... ça n'a rien d'extraordinaire, et il y a bien d'autres endroits où héberger des trucs dangereux)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1055

Zerosquare (./1054) :
squalyl (./1053) :
ué voila l'idée c'est par exemple d'uploader un gifar sur un site style fessebouque ou flickr et après tu peux t'en servir comme stockage distribué de véroles biggrin.gif
L'article avait l'air de dire que juste en visitant un de ces sites l'appli Java pouvait s'exécuter ?

(parce que si c'est juste la possibilité de stocker une appli Java sur un site qui n'est censé accepter que des images, bof quoi... ça n'a rien d'extraordinaire, et il y a bien d'autres endroits où héberger des trucs dangereux)


Certains sites d'hébergement img utilisent Java pour faciliter le stockage des imgs uploadées. Ainsi la faille est d'uploader un faux fichier GIF qui va contenir du code exécutable par la machine virtuelle. A voir ensuite ce que cet accès peut te permettre de faire.
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

1056

Désolé mais j'ai du mal à comprendre : même si le site en lui-même utilise Java, pour qu'une telle faille fonctionne, ça suppose que l'affichage des images se base sur un mécanisme qui décide l'action à faire suivant le contenu du fichier et pas sur le contexte, non ? Par exemple, avec un tag <IMG SRC="..."> le truc passé en paramètre ne sera jamais exécuté, même si c'est un .JAR valide (enfin j'espère).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1057

Tu poses là une balise html, à qui on demandera juste"tu affiches l'img de l'adresse X", mais le html le fera, que l'img existe ou non. Il s'en moque, cela n'a aucun rapport avec ce dont on parle.
Mais si tu lances l'upload d'une img, dans ce qui est décrit plus haut, Java peut vouloir lire des infos sur l'img (est-ce bien un gif malgré l'extension), la retravailler (pour créer des miniatures automatiquement), etc. Tu as l'air de buter sur "avec Java on peut pirater en envoyant un gif", mais ce qu'on montre est une faille comme il en existe partout, avec un contexte spécifique pour être exploitable. En somme ici "on peut injecter du code au moyen d'une fausse img gif". Il y a aussi des failles avec SQL, Flash, ActiveX, etc, et le html ne va pas empécher cela parce que le html est le rendu final, il ne vérifie pas ce qu'on lui envoie mais se charge simplement de l'afficher.
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

1058

Bon c'est de ma faute, en fait j'avais sauté une phrase dans l'article :
The bad guys would create a profile on one of these popular Web sites -- Facebook, for example -- and upload their GIFAR as an image on the site. Then they'd trick the victim into visiting a malicious Web site
, which would tell the victim's browser to go open the GIFAR.

Donc le code en question ne s'exécutera pas simplement en visitant le site où est hébergé le fichier GIF/JAR, il faut un site annexe qui demande l'exécution du fichier. La faille c'est que comme le JAR provient du site d'hébergement, apparemment il a accès aux cookies de ce site.

Finalement c'est une faille moins grave que ce que je pensais.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1059

1060

http://www.theinquirer.net/gb/inquirer/news/2008/08/01/linux-preloads-rocket-per-cent
The number of machines shipped with Linux preloaded on them has multiplied a whopping 28 times since Microsoft launched its Vista operating system in January 2007.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

1061

Vista n'est pas la seule cause de cela ^^
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1062

C'est surtout grâce aux eeePC et compagnie non ?
avatar
Combien de tas de bois une marmotte pourrait couper si une marmotte pouvait couper du bois ?

1063

oui, rien qu'en france ils représentent 10% des ventes de laptop.

1064

Notamment, oui.

Depuis janvier 2007, Linux+userspace a encore fait des progrès en utilisabilité pour le grand public. Les PCs low-cost n'existaient pas en janvier 2007, et ce coût est difficilement atteignable avec Windows, même quand le prix est très nettement baissé par Microsoft. Et caetera.
C'est relativement facile de multiplier par 28 quand on part de chiffres très faibles. Multiplier un million par 28 en un an et demi ne se produira peut-être pas.

"Vistaster" n'est à mon avis qu'au mieux en troisième position sur la liste des raisons qui ont produit le développement des machines préchargées avec Linux+userspace.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1065

1066

1067

On pourrait presque dire que ceux qui se font avoir l'ont bien mérité grin
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1068

c'est clair, c'est encore un bug d'interface chaise clavier ça grin

1069

avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1070

http://www.mobifrance.com/news/2008-08-06/id12471/De-la-poussi-re-sur-l-cran-tactile-de-l-iPhone/

l'iphone1, j'aurais pu craquer, mais là...

-batterie qui crame
-coque qui se craquelle
-poussière sous l'écran tactile

ça commence à bien faire.

1071

combien de cas, à chaque fois ?
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1072

aucune idée, et pas envie de casser mon troll grin

1073

1074

En tout cas, je laisse ce message pour confirmer qu'Apple sont vraiment de gros rapaces ! mad
J'ai acheté mon iphone1 en avril et ils ne m'ont même pas contacté pour une offre sur le l'iphone2 mourn mourn mourn
avatar
"Pigs can fight for food but know how to unite together against a bear." - H'Mong Proverb.

C'est vieux tout ça...

«On peut toujours plus que ce que l'on croit pouvoir.»
[ Joseph Kessel ]

1075

achète un htc Diamond
Le travail est une belle chose, ne soyez pas égoistes, laissez le à vos amis
Comment être modeste quand on est le meilleur
I'm God's clone!

1076

avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

1077

Rems (./1074) :
En tout cas, je laisse ce message pour confirmer qu'Apple sont vraiment de gros rapaces ! mad
J'ai acheté mon iphone1 en avril et ils ne m'ont même pas contacté pour une offre sur le l'iphone2 mourn mourn mourn

Tu connais beaucoup de fabricants de tél qui font ce genre de cadeaux ?
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1078

squalyl (./1059) :
http://www.presence-pc.com/actualite/Qualcomm-HSPA-mobile-30679/
de la 3G++!

Pour moi, osef tant qu'il n'existe pas de forfaits corrects : illimité pour bon marché. Rien que pour cela, je veux bien avoir le 10e de cette vitesse.
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

1079

1080

Meowcate (./1078) :
squalyl (./1059) :
http://www.presence-pc.com/actualite/Qualcomm-HSPA-mobile-30679/
de la 3G++!

Pour moi, osef tant qu'il n'existe pas de forfaits corrects : illimité pour bon marché. Rien que pour cela, je veux bien avoir le 10e de cette vitesse.

sisi topics/112992-internet-3g-illimite-pour-9EUR-mois
Le travail est une belle chose, ne soyez pas égoistes, laissez le à vos amis
Comment être modeste quand on est le meilleur
I'm God's clone!