Première faille d'Internet Explorer 7 par maquillage d'URL
Une petite spoof repérée chez IE
Selon la firme de sécurité Secunia, Internet Explorer 7 souffre d’une faille de sécurité certes classée « peu critique », mais qui permet d’afficher une fausse adresse dans une fenêtre pop-up (spoofing). Théoriquement, un attaquant pourrait ainsi envisager de présenter la fenêtre comme provenant d’un site institutionnel, d’une banque ou tout autre organisme manipulant des données sensibles et attendre sagement que l’internaute saisisse docilement les informations demandées.
Les détails n’ont pas été transmis par Secunia, mais la faille se concentre, semble-t-il, dans un bout de code JavaScript tel qu’interprété par Internet Explorer. On retrouve dans les sources de la page de test de Sécunia, un appel vers la page « http://secunia.com/result_22542/? » suivi d’une série de caractères spéciaux, suffisante pour brouiller les pistes du navigateur et donc de l’utilisateur.
Toutefois, il n’est peut-être pas encore temps de paniquer puisqu’un minimum d’attention permet de pallier ce problème : ainsi, un clic dans une zone quelconque de la fenêtre pop-up « spoofée » révèlera l’adresse réelle (cf nos captures).
Un démaquillage quasi mécanique : lorsque des informations sont demandées dans un formulaire, il est toujours difficile de laisser son mulot tranquille dans un coin de table. Mais on pourrait envisager d'autres formes d'attaques comme celle visant à discréditer une entreprise sous le nom d'un concurrent par exemple. Soulignons enfin que la désactivation de l’active scripting dans les paramètres de sécurité (menu Tools, Internet Options), suffira à prévenir un tel problème puisque la fenêtre pop up refusera systématiquement de s’ouvrir. La faille a été validée sous IE7 sous Windows XP sp2 mais elle ne fonctionne pas sous Vista en version 32 ou 64 bits.
Le problème soulevé semble cette fois concerner plus intimement le nouveau navigateur de Microsoft, bien plus que ne le pensait Secunia avec la soi-disant première faille de la semaine dernière, qui frappait en réalité Outlook Express.
Les détails n’ont pas été transmis par Secunia, mais la faille se concentre, semble-t-il, dans un bout de code JavaScript tel qu’interprété par Internet Explorer. On retrouve dans les sources de la page de test de Sécunia, un appel vers la page « http://secunia.com/result_22542/? » suivi d’une série de caractères spéciaux, suffisante pour brouiller les pistes du navigateur et donc de l’utilisateur.
Toutefois, il n’est peut-être pas encore temps de paniquer puisqu’un minimum d’attention permet de pallier ce problème : ainsi, un clic dans une zone quelconque de la fenêtre pop-up « spoofée » révèlera l’adresse réelle (cf nos captures).
Un démaquillage quasi mécanique : lorsque des informations sont demandées dans un formulaire, il est toujours difficile de laisser son mulot tranquille dans un coin de table. Mais on pourrait envisager d'autres formes d'attaques comme celle visant à discréditer une entreprise sous le nom d'un concurrent par exemple. Soulignons enfin que la désactivation de l’active scripting dans les paramètres de sécurité (menu Tools, Internet Options), suffira à prévenir un tel problème puisque la fenêtre pop up refusera systématiquement de s’ouvrir. La faille a été validée sous IE7 sous Windows XP sp2 mais elle ne fonctionne pas sous Vista en version 32 ou 64 bits.
Marc Rees
le 26 octobre 2006 à 09:17
(22 275
lectures)
Actualités et brèves relatives
- 21 / 10 / 2006 : Firefox 2.0 devrait voir le jour mardi 24 octobre
- 20 / 10 / 2006 : Déjà une faille dans Internet Explorer 7 ?... Pas si vite
- 19 / 10 / 2006 : Internet Explorer 7, c'est pour aujourd'hui !
- 17 / 10 / 2006 : Safari 3.0 : premières informations sur le navigateur d'Apple
- 16 / 10 / 2006 : Firefox 3 : appel à contribution des utilisateurs
- 16 / 10 / 2006 : Vista : les modifications techniques en réponse aux plaintes
- 13 / 10 / 2006 : Internet Explorer 7 et Media Player 11 pour ce mois-ci
- 13 / 10 / 2006 : Microsoft enrichit son éventail de services Live
