Internet Explorer 7 : une faille permettant le phishing

Le chercheur israélien en sécurité Aviv Raff a mis en avant une faille d’Internet Explorer 7. Classée comme modérément critique par Secunia, elle pourrait permettre de détourner un utilisateur vers un site factice et donc potentiellement malveillant.

La page locale navcancl.htm contient en fait une erreur de validation qui permettrait en théorie de remplacer le lien « Rafraîchir la page » par un autre lien pointant vers un site malveillant. La faille précédemment citée permet en fait de modifier le lien en lui injectant un script. Bien qu’un détournement soit possible, le risque s’arrête ici.

La classification comme « modérément critique » se justifie parce que le fichier navcancl.htm doit être modifié de manière locale et ne peut en aucun cas permettre une attaque à distance. En attendant que la faille soit corrigée et que Microsoft termine ses investigations, il est recommandé d’utiliser le bouton « Actualiser » (touche F5) au lieu de cliquer sur un lien.

Source : Aviv Raff

Vincent Hermann le 16 mars 2007 à 17:06 (15 003 lectures)

Tweeter

• 26 / 01 / 2007 : Une nouvelle faille pour Word et de nouvelles attaques
• 09 / 01 / 2007 : Des failles de sécurité corrigées pour OpenOffice.org
• 09 / 01 / 2007 : Une ancienne faille d'Acrobat Reader refait parler d'elle
• 19 / 12 / 2006 : OpenOffice.org affecté par la dernière faille de Word
• 04 / 07 / 2006 : Deux nouvelles failles découvertes sous Internet Explorer
• 22 / 05 / 2006 : Vulnérablité déjà exploitée dans Word
• 04 / 01 / 2006 : Faille de sécurité pour le système email du BlackBerry
• 09 / 12 / 2005 : Une faille non critique sous Firefox 1.5

Actu Précédente Actu Suivante