Hacking

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

l'ABC de SDL, ASLR, NX et les autres : CQFD


Edition du 05/03/2008 - par Marc Olanié

Vista, nous explique David Maynor, parmi tant d'autres, possède une panoplie de procédures et de directives de programmation/compilation/conception qui pourraient rendre excessivement complexe toute tentative d'exploitation. A commencer par les BoF. Même si certaines d'entre elles posent parfois de légers problèmes.

Le petit scanner de David Maynor se contente donc de vérifier la présence et l'emploi des fonctions No Execute, les processus SDL (Security Development Lifecycle) et des techniques utilisant l'Address space layout randomization (ASLR). Le moins que l'on puisse dire, c'est que du coté du répertoire Winsys:\Program Files (x86), même Microsoft respecte l'énorme*.

Il n'est pas question de voir en ces résultats de scan une profusion de « bugs exploitables ». Ce sont généralement les mises en évidence de programmes n'intégrant pas des recommandations Microsoft, ou utilisant des DLL dont l'usage n'est plus tellement de mise. Généralement certes pour des raisons de sécurité, mais dont l'exploitation n'est pas toujours -voir rarement- possible. Ces bibliothèques périmées sont à Windows ce que les tuiles en fibrociment sont au BTP : des matériaux qu'il serait souhaitable de voir disparaitre, mais dont le coût de recyclage-rénovation dépasse souvent les budgets prévus. Et puis, il est rare que l'on attrape un cancer du poumon avec WsprintfA.

*NdlC Note de la Correctrice : Consternant! Et c'est comme çà depuis deux jours, après la découverte d'une vulnérabilité dans je ne sais trop quel antivirus. L'ego des hommes n'a d'égal que leur autosatisfaction à proférer des calembours douteux

Vos commentaires

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
La fronde enfle contre le fichier Edvige

De nombreuses critiques ciblent le fichier Edvige, un mois après la publication au (...)

Le FBI avertit de nouvelles attaques du vers Storm

Une vague de plaintes incite le FBI à émettre un avertissement sur un nouveau cycle (...)

Un hacker britannique menacé d'extradition aux Etats Unis va faire appel devant la cour des droits de l'homme à Strasbourg

Le hacker britannique Gary M (...)

Pékin filtre internet pour les journalistes présents aux Jeux Olympiques, avec l'accord du CIO

A quelques jours de l'ouverture des Jeux Olympiques, les autorités chinoises concrétisent (...)

Les archives multimédia de la Nasa rassemblées en ligne

La Nasa lance un site Web de contenu multimédia, mis au point avec Internet Archive, (...)

Les correctifs DNS posent des problèmes, les développeurs l'admettent

Les correctifs émis au début de ce mois de Juillet 2008 afin d'annuler une faille (...)

La majorité des données sensibles sur les portables des organismes gouvernementaux américains n'est pas chiffrée

Aux Etats Unis, seulement 30% des données sensibles sont chiffrées lorsqu'elles (...)
Recherche
Sondage flash
Le "Green IT" est une démarche dans votre entreprise
Conférences
25/09/2008
SEGMENTER ET DYNAMISER SES CONTRATS D'INFOGERANCE
De 8h30 à 14h00 à l'Automobile Club de France - Paris 8è
  s'inscrire
conférencestoutes les
conférences
Agenda
Du mercredi 3 septembre 2008 au mercredi 3 septembre 2008
Assemblée Générale de la FIEA
Musée de l'Aventure Peugeot, Carrefour de l'Europe, 25600 Sochaux
en savoir plus
agendatout
l'agenda