Navigation
L'actualité informatique et multimédia
Internet Explorer : bug dans la gestion des images JPG
Une nouvelle faille de sécurité dans Internet Explorer vient d'êt...
Une nouvelle faille de sécurité dans Internet Explorer vient d'êt...
Une nouvelle faille de sécurité dans Internet Explorer vient d'être découverte. Celle-ci concerne là encore la gestion des images.
Il y a quelques jours, un bug affectait indifféremment le messager et le navigateur de Microsoft. Edward Gagnon, chercheur en sécurité, montrait que IE ne savait pas gérer correctement les profils ICC (International Color Consortium), fichier décrivant la manière dont un périphérique doit rendre compte des couleurs. A l'aide d'un simple éditeur hexadécimal, il est possible de déformer une image pour la rendre malicieuse.
La nouvelle faille publiée sur plusieurs listes de sécurité est quelque peu plus dramatique car son découvreur polonais, au chapeau blanc un peu assombri, n'a pas jugé opportun de contacter Microsoft avant publication. "Ils n'ont pas obtenu une communication préalable" pose-t-il expliquant que par expérience, "signaler et discuter des problèmes de sécurité avec Microsoft est un processus inutilement long"... L'intéressé, le consultant en sécurité Michal Zalewski, raconte que cette vulnérabilité serait en tout cas liée à la manière dont IE gère le format graphique JPEG.
Là encore une image mal formée permettra de provoquer des saturations par débordement de mémoire, pouvant engendrer dans le meilleur des cas, un plantage du navigateur. La faille est présente sur Microsoft Internet Explorer 6.0 SP2 mais des investigations sont en cours pour les anciennes versions.
Du fait de cette publication sauvage, aucun patch n'est bien entendu disponible à ce jour.
(Merci Freeman!)
Il y a quelques jours, un bug affectait indifféremment le messager et le navigateur de Microsoft. Edward Gagnon, chercheur en sécurité, montrait que IE ne savait pas gérer correctement les profils ICC (International Color Consortium), fichier décrivant la manière dont un périphérique doit rendre compte des couleurs. A l'aide d'un simple éditeur hexadécimal, il est possible de déformer une image pour la rendre malicieuse.
La nouvelle faille publiée sur plusieurs listes de sécurité est quelque peu plus dramatique car son découvreur polonais, au chapeau blanc un peu assombri, n'a pas jugé opportun de contacter Microsoft avant publication. "Ils n'ont pas obtenu une communication préalable" pose-t-il expliquant que par expérience, "signaler et discuter des problèmes de sécurité avec Microsoft est un processus inutilement long"... L'intéressé, le consultant en sécurité Michal Zalewski, raconte que cette vulnérabilité serait en tout cas liée à la manière dont IE gère le format graphique JPEG.
Là encore une image mal formée permettra de provoquer des saturations par débordement de mémoire, pouvant engendrer dans le meilleur des cas, un plantage du navigateur. La faille est présente sur Microsoft Internet Explorer 6.0 SP2 mais des investigations sont en cours pour les anciennes versions.
Du fait de cette publication sauvage, aucun patch n'est bien entendu disponible à ce jour.
(Merci Freeman!)
Rédigée par le vendredi 22 juillet 2005 à 17h06 (7019 lectures)
© 2003 -2008 PC INpact SARL de presse. Tous droits réservés ! - Powered by PCI WebEngine - PCINpact.com est un site de PC INpact Network
Glossaire : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0149 s - Top 100 - Nos partenaires
Partenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0149 s - Top 100 - Nos partenairesPartenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
