actualité
 L'actualité informatique et multimédia
 Firefox, Internet Explorer 7 : une faille sur les mots de passe
 Sûrement un nouveau coup des Nichois du FBI
Sécurité

firefox faille Internet Explorer 7 et Firefox 2 sont tous deux concernés par une faille que Robert Chapin, président de Chapin Information Services, a découverte. Jugée critique par les développeurs de Mozilla selon un rapport de bogue mais peu critique selon Secunia, elle permet à un utilisateur malintentionné, via une page HTML spécialement conçue, de récupérer les informations d’identification d’un autre utilisateur.

À la fin du mois d’octobre, cette faille a été utilisée dans une attaque de phishing sur le site MySpace. Un utilisateur s’y était inscrit sous le nom « login_home_index_html ». Une fois enregistré, il a pu créer une page HTML conçue pour exploiter la faille, à la différence que les informations saisies par les autres utilisateurs n’étaient bien entendu pas transmises à MySpace mais à un serveur distant qui les stockait.

firefox faille Cette faille est explicable par le fait que ni Firefox 2 ni Internet Explorer 7 ne vérifient assez la transmission des mots de passe. En l’occurrence, aucun des deux navigateurs ne vérifie si les informations demandées sont effectivement transmises au serveur qui « a l’air » de les demander. Les navigateurs ne vérifient pas non plus de manière assez  approfondie si les informations d’identification doivent être réellement envoyées. Dans le cas de l’attaque sur MySpace, Firefox (sur lequel l’erreur a été découverte en premier) ne vérifie pas si le formulaire vient effectivement de MySpace et ne vérifie pas non plus si les informations seront réellement transmises au serveur de MySpace.

Robert Chapin, qui détaille l’attaque sur son site web, explique qu’Internet Explorer 7 est moins susceptible d’être victime de ce qu’il appelle une attaque par Reverse Cross-Site Request (RCSR). Il publie d’ailleurs une exploitation de cette faille : l’utilisateur commence par entrer un identifiant de connexion et un mot de passe, puis est invité à cliquer sur une vidéo. L’utilisateur est alors redirigé vers Google, et on peut voir alors clairement dans la barre d’adresses que l’identifiant et le mot de passe y sont inscrits en clair.

Gageons que cette faille sera corrigée rapidement par les différents éditeurs.

Rédigée par le jeudi 23 novembre 2006 à 11h36 (28471 lectures)
Source de l'INformation : Info SVC
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news
syndication netvibes scoopeo wikio

Il y a 57 commentaires dont 57 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

02 novembre 2006   Seconde faille de sécurité DoS pour Firefox 2.0
03 octobre 2006   Des précisions sur le problème du JavaScript dans Firefox
02 octobre 2006   Firefox : faille supposée dans la gestion du JavaScript (MAJ)
22 septembre 2006   Symantec : après Vista, l'éditeur s'en prend à Mozilla
11 septembre 2006   Firefox analysé : les 611 erreurs sont-elles réelles ?
02 août 2006   Une autre extension voleuse de données pour Firefox
13 juin 2006   Firefox 3.0 ne devrait pas supporter Windows 98 et Me
18 mai 2006   Une faille pour Firefox dans la gestion des images

Recherches relatives : firefox - ie7 - faille