Mise à jour de l’advisory 917077

Microsoft vient de mettre à jour son Advisory sur la faille CreateTextRange().


Quelques points utiles à préciser :


  • Le maximum est fait pour qu’un patch sorte le 11/04, voire avant.
  • IE7 (bêta), dans sa build 5335.5 (celle du 20 Mars) n’est pas vulnérable.
  • Symantec, Computer Associates, McAfee, F-Secure Corporation, Panda Software International, Aladdin, Sophos, Eset Software, Trend Micro (de la Virus Information Alliance) ont indiqués que leurs antivirus à jour des dernières signatures protègent de l’exploitation de cette faille.
  • Microsoft Windows Defender (Beta 2) et Windows Live Safety Center vous aideront respectivement par une protection anti-spywares pour le premier et un scan en ligne anti-malwares pour le second.

Lire tous les conseils.


Sur le blog de la Microsoft Security Response Center Team, on trouve aussi le point sur la situation actuelle.

Blocage du spam par les FAI

C’est une position intéressante que vient de prendre l’autorité de régulation des médias et des communications Australienne (ACMA) :


Les quelques 689 FAI Australiens sont invités à bloquer les spams provenant de leurs abonnés. Sont visés par cette mesure les spammeurs volontaires, mais surtout ceux qui agissent à l’insu de leur plein gré, c’est à dire les serveurs SMTP mals configurés et surtout les machines “zombies”, infestées de malwares.


A quand la même chose en France ?


Quelques autres mesures sont également dignes d’intérêt, je vous invite à lire le reste de l’article : Branchez-vous

Vista : Les vieux trucs marchent encore

Enfin, quand je dis “vieux”, il faut comprendre “Décembre”.


Ces valeurs du registre modifient le fonctionnement de l’interface Aero :


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\DWM]
“EnableMachineCheck”=dword:00000000
“Glass”=dword:00000001
“Blur”=dword:00000001
“UseAlternateButtons”=dword:00000000
“Animations”=dword:00000001
“AnimationsShiftKey”=dword:00000001

EnableMachineCheck‘ – 0 force le fonctionnement d’Aero.
‘Glass’ – 1 active Aero Glass, 0 active seulement Aero.
Blur‘ – 1 active le flou des bordures, 0 le désactive (transparence).
‘UseAlternateButtons’ – 0 allonge les boutons, 1 les mets en carré.
‘Animations’ – 0 désactive les animations, 1 les remets.
AnimationsShiftKey‘ – 1 permet de voir les animations 3D au ralenti en appuyant sur “Shift”..


Je vous conseille les 3 valeurs en gras. Il est nécessaire de fermer la session et de la réouvrir pour activer les nouvelles valeurs. (ou bien stopper le processus DWM, il redémarrera seul)


Source : MSDN Blog

Vista 5342

Elle est disponible pour les bêta testeurs.


A retenir : ce n’est pas une CTP ! (mais elle est tout de même diffusée à tous les bêta-testeurs)


D’après Ramblings of a Computer Guru les nouveautés sont les suivantes :


  • The real Aero Glass. Till now what we have seen is Aero Express and Aero Express w/ Transparency. But That’s not Aero, not at all. Expect to see fully scalable vector based transparencies that take advantage of pixel shading…. and actually show us what DX10 can do!*
  • Aero Express will have a new transparent PNG layer instead of that nasty grey… which means that all you VMware and VPC users can experience what we’ve had all along.. and its no longer uglier than XP’s Luna.*
  • Home Basic users will not have advantage of the sleek transparent 3-bit PNGs, instead they get the opaque “glass” that was Aero Express till now…
  • The “Vista Flare” effect. At the moment not many details are available, but we suspect it is a form of Aurora in the preview bar.. more on that below.
  • A real Gadgets gallery.
  • Support for Pocket PC 2000, 2002, and 2003 synchronization.
  • A complete firewall shell that will replace any need for third party applications.. A good thing too seeing as Symantec razed Sygate to the ground, and the Sygate 5.6 doesn’t run on Vista..
  • Some real tight wallpapers
  • More cool 3d (DX10?) screensavers.*
  • Some XP screensavers running on Vista.
  • Movable toolbars in IE7.
  • Green shaded address bar in IE when visiting SSL secured sites.

Les principaux bugs fixés :


  • All desktop icons will be there. This includes the previously MIA Network and Documents folders.
  • The infamous “taskbar hover” glitch wherein a tooltip hides behind the taskbar at times, and in 5308, always.
  • Icons. Enough said, it includes SVGs, malformed (maldrawn??) and incorrect icons.
  • Outlook Express (aka Windows Mail) synchronization with NNTP servers: faster and more reliable.
  • Networking (especially in workgroups) has been debugged, works faster and more reliably, and is sees/is seen by XP and 2k perfectly..
  • Timezones.. All the various issues should be now fixed.
  • Aurora should be less processor intensive and a bit brighter.
  • Switching/setting keyboard layouts. So far it has been vastly improved in 5308, this build should see some of the finer bugs/kinks worked out.
  • Taskbar auto-hide.
  • Taskbar does not reappear.
  • Networking center, its icons, links, settings, and more.
  • Explorer.exe memory drain….

Les bugs de régression :


  • IE7 auto-complete glitches where auto-complete “forgets” entries.
  • IE7 encoding auto-selector may be once more broken.
  • IE7 memory usage may be on the higher end once more…

Attention, cette liste n’a rien d’officiel et pas encore été vérifiée !


(article sous licence Creative Common)

60% du code à réécrire, 100% canular

Alors que Microsoft a démenti l’info et que la logique en fait de même, on continue à lire à divers endroits que Microsoft doit réécrire 60% du code de Vista…


ça fait quand même quelques lignes de code à réécrire… (ça se compte en millions…) et à débuguer (et si vous êtes dev., vous savez que le débuguage est souvent plus long que l’écriture).


Alors, mesdames et messieurs les journalistes, faites moi vite disparaitre ce canular, on est pas encore le 1er Avril !  


Source : Alec Saunders Log.

Microsoft Shared Computer Toolkit en Français

Je vous en parlai il y a peu, cet outil est désormais disponible en Français :


Microsoft Shared Computer Toolkit pour Windows XP offre une méthode simple et efficace pour protéger les ordinateurs partagés contre les utilisateurs non autorisés et les logiciels malveillants, sécuriser les ressources système et simplifier l’expérience utilisateur. Shared Computer Toolkit s’exécute sur les copies authentiques de Windows XP Professionnel, Windows XP Édition familiale et Windows XP Édition Tablet PC.

IE7 n’est pas vulnérable…

…à ces 3 nouvelles failles de IE6 : “Scripts actions in HTML Tag” (mais ce n’est qu’un Déni de Service pour le moment), “grasshopper” (non divulguée) et “Createtextrange” (un PoC (Proof of Concept) public existe)


Pendant ce temps, des bêtas testeurs constatent que I.E. est enfin bien moins intégré à l’explorateur de Vista que dans les OS précédents, ce qui est plutôt une bonne chose du point de vue de la sécurité.

Vista : pas avant Janvier 2007

C’est confirmé par l’AFP :


Le numéro un mondial du logiciel, l’américain Microsoft, a annoncé mardi le report à janvier 2007 de la sortie des versions pour les particuliers de son nouveau système d’exploitation Windows Vista.


Là où on s’aperçoit que c’est d’un géant de l’informatique que l’on parle, c’est quand on lit : L’action Microsoft a perdu 3 pc dans les échanges boursiers après la clôture. (il fallait bien sur comprendre pc == pour cent == %)


Lire l’article complet sur le site de l’AFP.

DADVSI : ce qui me plait…

Quelques réflexions en vrac me sont venues à l’esprit en lisant cet article…


Je ne peux pas m’empêcher de penser que si le lobby des majors et la notion d’urgence n’avaient pas mis une pression incroyable sur les politiques, on n’en serait pas là aujourd’ hui… 


Sur le contournement des DRM… J’ai acheté récemment un CD de musique avec la mention “protégé” dans le but de le passer sur mon lecteur de MP3 (complètement incompatible DRM et que je compte bien jeter avec l’arrivée de DADVSI !). Hé bein, le passage en MP3 s’est passé sans douleur et j’écoute ce “CD” sur son nouveau support sans problèmes. Vous savez pourquoi ? J’ai désactivé un jour par inadvertance l’autorun (honte à tweakui) du lecteur CD/DVD de mon PC et aucun driver de protection n’a pu s’installer depuis. Heureusement, avec DADVSI, je serai remis dans le droit chemin et la loi me dira comment réparer mon autorun perdu et ne pas contourner la musique DRMisée.


Oui, je sais, il est précisé que les DRM “ne peuvent faire obstacle au libre usage de l’oeuvre dans la limite des droits prévus par le code de la propriété intellectuelle et ceux accordés par les détenteurs des droits… ouf, après tout, je ne serais peut-être pas obligé de jeter mon pôôôv’ lecteur de MP3… si les majors m’y autorisent, évidemment.


En ce qui concerne le P2P, on frise le génie : s’attaquer à l’outil, quelle bonne d’idée… on devrait interdire les voitures sous prétexte que l’on peut dépasser les limitations de vitesse avec. Le P2P n’est qu’un élément secondaire de l’internet d’aujourd’hui et n’existera plus demain. Les majors ont réussi, avec brio, à faire passer le message aux hommes politiques.


Le cas du rootkit Sony ? pris en compte également : (les DRM…) “permettant le contrôle à distance direct ou indirect d’une ou plusieurs fonctionnalités, ou l’accès à des données personnelles, sont soumis à une déclaration préalable. Ouf, je me sens rassuré par cette déclaration obligatoire…


Et au sujet du droit à la copie privée ? Pourquoi ne pas l’avoir interdite complètement ? Ah oui, j’ai failli oublier qu’il y a une taxe là-dessus qui risquait de disparaitre. Par bonheur, elle a été sauvée !


Mais faut pas déco–er quand même, il ne faut surtout pas autoriser la copie de DVD, quelques sous pourraient être perdus (comme lors de la sortie des magnétoscopes et des cassettes VHS). Ah oui, et on garde aussi la taxe sur les DVD vierges, c’est mieux.


Voilà, il ne reste plus qu’à valider ce texte exceptionnel au Sénat en Mai et tous les gentils internautes pourront contribuer à la survie des majors…


(ces réflexions ont été soigneusement expurgées de toute ironie malsaine)