Faille JavaScript commune à la plupart des navigateurs
Une faille touchant aveuglément un grand nombre de navigateurs a été ...
Une faille touchant aveuglément un grand nombre de navigateurs a été repéré par Jakob Balle, un chercheur en sécurité informatique. Cette généralité s'explique parce que le bug affecte les boites de dialogue JavaScript, système évidemment commun. Le hic tient spécialement en ce que ces boites n'affichent pas correctement ou n'incluent pas leur origine. Du coup, cela permet, depuis une fenêtre, à une personne malintentionnée d'ouvrir une boite de dialogue piégée en faisant croire à l'usager qu'elle provient d'un site de confiance.
Pensant avoir à faire à ce site sérieux, l'internaute un peu trop sûr de lui pourra ainsi confier aveuglement ses petits secrets (login, mots de passe, numéros de carte, etc.). La preuve par l'image : le site de sécurité Secunia, a mis en ligne un test de vulnérabilité inoffensif pour éprouver son navigateur. On pourra le consulter sur cette page.
L'on sait déjà que sont concernés Microsoft Internet Explorer 6 (à peu près sur toutes les versions de Windows) Microsoft Internet Explorer 5.5 SP2 sous Windows Millennium Edition, Internet Explorer 5.01 SP3 sous Windows 2000 SP3 et sous Windows 2000 SP4 ou sous Macintosh, mais aussi Mozilla version 1.7.8 et antérieures, Firefox version 1.0.4 et antérieures, Camino version 0.8.4 et antérieures, Apple Safari version 2.0 (412) et antérieures et iCab version 2.9.8 et antérieures. Il est recommandé, en attendant une solution officielle, de désactiver le support JavaScript ou, c'est le minimum, de se méfier avant de soumettre dans une fenêtre pop-up des données confidentielles...
Pensant avoir à faire à ce site sérieux, l'internaute un peu trop sûr de lui pourra ainsi confier aveuglement ses petits secrets (login, mots de passe, numéros de carte, etc.). La preuve par l'image : le site de sécurité Secunia, a mis en ligne un test de vulnérabilité inoffensif pour éprouver son navigateur. On pourra le consulter sur cette page.
L'on sait déjà que sont concernés Microsoft Internet Explorer 6 (à peu près sur toutes les versions de Windows) Microsoft Internet Explorer 5.5 SP2 sous Windows Millennium Edition, Internet Explorer 5.01 SP3 sous Windows 2000 SP3 et sous Windows 2000 SP4 ou sous Macintosh, mais aussi Mozilla version 1.7.8 et antérieures, Firefox version 1.0.4 et antérieures, Camino version 0.8.4 et antérieures, Apple Safari version 2.0 (412) et antérieures et iCab version 2.9.8 et antérieures. Il est recommandé, en attendant une solution officielle, de désactiver le support JavaScript ou, c'est le minimum, de se méfier avant de soumettre dans une fenêtre pop-up des données confidentielles...
Source :
Secunia
Marc Rees
le 22 juin 2005 à 10:10
(9 959
lectures)
Actualités et brèves relatives
- 21 / 06 / 2005 : Virus : les failles de Windows sont démodées
- 17 / 06 / 2005 : Trois failles dans le navigateur Opera
- 15 / 06 / 2005 : Faille de sécurité : deux faux pas de Java
- 14 / 06 / 2005 : Adobe prévient d'une faille dans trois de ses logiciels
- 13 / 06 / 2005 : Bug dans une mise à jour Zone Alarm
- 10 / 06 / 2005 : Microsoft : nouveau bulletin pour le 15 juin
- 09 / 06 / 2005 : Faille : rions jaune avec le Bluetooth
- 07 / 06 / 2005 : Une faille vieille de sept ans resurgit chez Mozilla
- 07 / 06 / 2005 : Faille de Cross Site Scripting sur MSN.com
