Accueil
Version imprimable
Windows
Linux aussi vulnérable que Windows, get the facts...
11 novembre, 2006 - 21:29 | Ulhume | Windows Article

Lassé d'entendre certains amis me soutenir que Windows n'était pas plus sujet aux failles critiques que Linux, j'ai décidé de passer en mode "argument rationnel". Nous allons donc comparer un peu ce qui est comparable...

Déjà, pour commencer, définir ce qu'est une faille critique... Pour moi, ce qui est *vraiment* critique, c'est qu'un quidam puisse lancer, à distance, du code, sur ma machine. Qu'il puisse la faire tomber n'est pas agréable mais pas dés plus critique... Il y a d'autre aspects critères bien sur, comme injecter des fichiers sur ma bécane, en modifier à distance, etc... Mais pour ce test, nous allons nous limiter à cela, les RCE pour "Remote Code Execution".

Les RCE consistent en général à utiliser un dépassement de tampon (buffer overflow) pour lancer un shell (une ligne de commande) à distance, un peu comme un telnet. A l'époque du virus blaster, j'avais eu mon petit succès au boulot avec un tel "kit" me permettant de me connecter en administrateur sur mon serveur d'entreprise ultra sécurisé tournant sous OS que ne nommerais pas;-)

Mais ne voulant pas être taxé de mauvaise fois, nous allons comparer les clefs "Microsoft Windows" (donc pas office, juste windows) et "kernel linux" (pas proftpd, php & co, juste Linux).

Les critères établis, j'utilise bêtement la très bonne base de vulnérabilité de Security Focus et son formulaire de recherche. Passons à l'acte...

Honneur aux payant, je tapes donc (les guillemets me permettent d'être stricte dans la recherche:

"Microsoft Windows" "Remote Code Execution"

puis

"Linux Kernel" "Remote Code Execution"

Résultat, 17 vulnérabilités sous Windows et ZERO sous Linux. Convaincu ? Si je ne garde que "Microsoft" (donc avec Office), cela nous donnes 69. Si je prends Internet Explorer, j'en ai 6 (c'est tout ?!?) et pour FireFox 3 (c'est déjà beaucoup je trouve...).

Et tout ceci est d'autant plus intéressant que tout le monde a accès aux sources de Linux, un peu moins ont cette chance pour Windows... Enfin voilà, après chacun utilise l'OS qui l'amuse mais il autant le faire en connaissance de cause, comme diraient nos amis de Richemont "Get The Facts" (dans la série propagande, cette page est à connaitre, un must...).

Commentaires

Poster un nouveau commentaire

Si vous avez détecté une erreur, coquille ou bêtises du même ordre, merci de plutôt passer par le formulaire de contact
Pour vous abonner au flux des commentaires sur cet article, clickez ici.
Pour répondre à quelqu'un, utilisez plutôt le lien répondre qui se trouve en haut (ou en bas) à gauche de son commentaire.
Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement. Si vous avez un compte gravatar, l'utilisez pour afficher votre avatar.
  • To highlight piece of code, just surround them with <code type="language"> Your code &tl;/code>>. Language can be java,c++,bash,etc... Everything Geshi support.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <div> <p> <br>
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.
  • Every instance of custom tags in the input text will be replaced with a specific tool shortcut.

Plus d'informations sur les options de formatage

Êtes-vous humain ?
Cette question est là pour déterminer si vous êtes humain ou pas...