InfoPC
Administrateur
 
Age : 23
Inscrit le : 14 Avr 2005
Messages : 3044
Localisation : 93150 Seine Saint Denis
Configuration : Intel Core 2 Duo E6400, 2048Mo DDR2 PC6400, X1950Pro 256Mo DDR3, Vista Premium
|  Sujet: Première Faille d'Internet Explorer 7.0  Jeu 26 Oct 2006 - 21:38 | |
| Bonsoir,
Selon la firme de sécurité Secunia, Internet Explorer 7 souffre d’une
faille de sécurité certes classée « peu critique », mais qui permet
d’afficher une fausse adresse dans une fenêtre pop-up (spoofing).
Théoriquement, un attaquant pourrait ainsi envisager de présenter la
fenêtre comme provenant d’un site institutionnel, d’une banque ou tout
autre organisme manipulant des données sensibles et attendre sagement
que l’internaute saisisse docilement les informations demandées.
Les détails n’ont pas été transmis par Secunia, mais la faille se
concentre, semble-t-il, dans un bout de code JavaScript tel
qu’interprété par Internet Explorer. On retrouve dans les sources de la
page de test
de Sécunia, un appel vers la page « http://secunia.com/result_22542/? »
suivi d’une série de caractères spéciaux, suffisante pour brouiller les
pistes du navigateur et donc de l’utilisateur.
Toutefois, il n’est peut-être pas encore temps de paniquer puisqu’un
minimum d’attention permet de pallier ce problème : ainsi, un clic dans
une zone quelconque de la fenêtre pop-up « spoofée » révèlera l’adresse réelle (cf nos captures).
Un démaquillage quasi mécanique : lorsque des informations sont
demandées dans un formulaire, il est toujours difficile de laisser son
mulot tranquille dans un coin de table. Mais on pourrait envisager
d'autres formes d'attaques comme celle visant à discréditer une
entreprise sous le nom d'un concurrent par exemple. Soulignons enfin
que la désactivation de l’active scripting dans les paramètres de
sécurité (menu Tools, Internet Options), suffira à prévenir un tel
problème puisque la fenêtre pop up refusera systématiquement de
s’ouvrir. La faille a été validée sous IE7 sous Windows XP sp2 mais
elle ne fonctionne pas sous Vista en version 32 ou 64 bits.
Le problème soulevé semble cette fois concerner plus intimement le
nouveau navigateur de Microsoft, bien plus que ne le pensait Secunia
avec la soi-disant première faille de la semaine dernière, qui frappait en réalité Outlook Express.
Source: PC-Inpact |
|
