Navigation
L'actualité informatique et multimédia
Les liaisons dangeureuses d'Internet Explorer et Flash
Le phishing et le spoofing facilités
Le phishing et le spoofing facilités
Le chercheur en sécurité Hai Nam Luke vient de découvrir une vulnérabilité dans les liaisons entre Internet Explorer et le format swf, de Macromedia Flash. Classée modérément critique par Secunia, la faille pourrait malgré tout servir de fructueux terreau à une attaque par phishing ou spoofing, afin d’imiter au mieux les traits d’un site officiel et honorable.
Pratiquement, le bug se concentre dans une erreur de l’affichage d’un fichier Macromédia Flash et d’un site dans une même fenêtre du navigateur appelée par la fonction window.open. Exploitée malicieusement, elle permet alors de faire afficher une fausse URL dans la barre d’adresses du navigateur. L’on imagine alors sans mal un faux site bancaire monté pour récolter les coordonnées personnelles (numéro de compte, mot de passe, n° de carte de crédit, etc.), affichant fièrement l’URL officielle de la société imitée.
Autre problème, la faille impacte un grand nombre de versions d’IE 6, qu’elles soient sous XP SP1, SP2, Windows Serveur 2003, XP Pro x64 Edition, mais encore sous Windows 98, 98 Se, ou Me. Internet Explorer 5.01 SP4 sous Microsoft Windows 2000 SP4 est encore touché. Le site de sécurité Secunia a mis en ligne un test, sans danger, pour matérialiser la faille. On cliquera à cette fin sur « Test Now – Left Click on This Link ». Une page hébergée chez Secunia affichera cependant Google.com en URL. Sauf à désactiver l’Active Scripting dans la zone « Internet » des options de sécurité du navigateur, mais en perturbant du coup l’affichage de certains sites, aucune rustine n’est à ce jour disponible.
Pratiquement, le bug se concentre dans une erreur de l’affichage d’un fichier Macromédia Flash et d’un site dans une même fenêtre du navigateur appelée par la fonction window.open. Exploitée malicieusement, elle permet alors de faire afficher une fausse URL dans la barre d’adresses du navigateur. L’on imagine alors sans mal un faux site bancaire monté pour récolter les coordonnées personnelles (numéro de compte, mot de passe, n° de carte de crédit, etc.), affichant fièrement l’URL officielle de la société imitée.
Autre problème, la faille impacte un grand nombre de versions d’IE 6, qu’elles soient sous XP SP1, SP2, Windows Serveur 2003, XP Pro x64 Edition, mais encore sous Windows 98, 98 Se, ou Me. Internet Explorer 5.01 SP4 sous Microsoft Windows 2000 SP4 est encore touché. Le site de sécurité Secunia a mis en ligne un test, sans danger, pour matérialiser la faille. On cliquera à cette fin sur « Test Now – Left Click on This Link ». Une page hébergée chez Secunia affichera cependant Google.com en URL. Sauf à désactiver l’Active Scripting dans la zone « Internet » des options de sécurité du navigateur, mais en perturbant du coup l’affichage de certains sites, aucune rustine n’est à ce jour disponible.
© 2003 -2008 PC INpact SARL de presse. Tous droits réservés ! - Powered by PCI WebEngine - PCINpact.com est un site de PC INpact Network
Glossaire : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0144 s - Top 100 - Nos partenaires
Partenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0144 s - Top 100 - Nos partenairesPartenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
