Vulnérabilité sur I.E., d'autres navigateurs touchés
2 participants
Page 1 sur 1
Vulnérabilité sur I.E., d'autres navigateurs touchés
par Ricky Banlieue Lun Nov 28 2005, 23:23
Un groupe nommé Computer Terrorism vient de publier un POC (proof of concept) exploitant une vulnérabilité découverte semblerait-il dans Internet Explorer. La faille toucherait de nombreuses plateformes maisons (Microsoft Windows 98, 98 SE, Me, 2000 SP4 et XP SP1 et 2). Microsoft cependant, affirme n’avoir pas eu vent de victimes côté clients à ce jour mais l’enquête poursuit son chemin.
La faille n’est pas toute fraîche. Elle a été signifiée à l’éditeur en mai dernier et permettait initialement de faire planter le navigateur. Des informations plus récentes ont cependant démontré qu’une exécution de code à distance était envisageable, rendant un peu plus pressante l’intervention de Microsoft. Remarque importante de ce dernier, les auteurs du POC, adeptes du full disclosure, ont lâché l’exploit sauvagement dans la nature causant un risque accru pour les usagers. On consultera à ce titre le bulletin d’alerte #911302 publié par l’éditeur et celui publié spécialement par le très officiel CERTA français (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques).
Ce dernier note que la faille n'est pas propre à IE car elle provoque encore un déni de service sur Firefox ou la suite Mozilla. Et même Opera, ajoute l'Internet Security System.
La situation est d’autant plus inquiétante, surtout sous IE, que l’attaque peut se faire du seul fait d’une visite sur un site Internet piégé. Certes, on ne peut forcer un usager à saisir une adresse web mais un simple lien envoyé par mail pourrait faire largement l’affaire... Une fois l’attaque orchestrée, le malintentionné disposera des mêmes droits que l’usager sur la machine victime, sous Internet Explorer.
De son côté, Microsoft promet normalement d’injecter une rustine dans le prochain lot de mises à jour. En attendant, l’éditeur recommande de désactiver l’Active Scripting dans Internet Explorer (dans le menu Outils, Options Internet, puis onglet Sécurité, Personnaliser le niveau, section Script, en bas de la liste).
La faille n’est pas toute fraîche. Elle a été signifiée à l’éditeur en mai dernier et permettait initialement de faire planter le navigateur. Des informations plus récentes ont cependant démontré qu’une exécution de code à distance était envisageable, rendant un peu plus pressante l’intervention de Microsoft. Remarque importante de ce dernier, les auteurs du POC, adeptes du full disclosure, ont lâché l’exploit sauvagement dans la nature causant un risque accru pour les usagers. On consultera à ce titre le bulletin d’alerte #911302 publié par l’éditeur et celui publié spécialement par le très officiel CERTA français (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques).
Ce dernier note que la faille n'est pas propre à IE car elle provoque encore un déni de service sur Firefox ou la suite Mozilla. Et même Opera, ajoute l'Internet Security System.
La situation est d’autant plus inquiétante, surtout sous IE, que l’attaque peut se faire du seul fait d’une visite sur un site Internet piégé. Certes, on ne peut forcer un usager à saisir une adresse web mais un simple lien envoyé par mail pourrait faire largement l’affaire... Une fois l’attaque orchestrée, le malintentionné disposera des mêmes droits que l’usager sur la machine victime, sous Internet Explorer.
De son côté, Microsoft promet normalement d’injecter une rustine dans le prochain lot de mises à jour. En attendant, l’éditeur recommande de désactiver l’Active Scripting dans Internet Explorer (dans le menu Outils, Options Internet, puis onglet Sécurité, Personnaliser le niveau, section Script, en bas de la liste).
Ricky Banlieue- 1 Costard Pour 2
-
Nombre de messages : 70068
Age : 60
Localisation : Franche Comté
Points : 129842
Date d'inscription : 07/09/2004 -
Re: Vulnérabilité sur I.E., d'autres navigateurs touchés
par Rastalion69 Mar Nov 29 2005, 10:08
mort de rire sont vraiment trop fort chez crosoft
Rastalion69- Rue d'la Gouaille
-
Nombre de messages : 22654
Age : 56
Localisation : le cul sur ma chaise
Humeur : aucun me fait chiez
Points : 8977
Date d'inscription : 19/09/2005
Re: Vulnérabilité sur I.E., d'autres navigateurs touchés
par Ricky Banlieue Mar Nov 29 2005, 12:18
rastalion69 a écrit:mort de rire sont vraiment trop fort chez crosoft
Ce dernier note que la faille n'est pas propre à IE car elle provoque encore un déni de service sur Firefox ou la suite Mozilla. Et même Opera, ajoute l'Internet Security System.
Ricky Banlieue- 1 Costard Pour 2
-
Nombre de messages : 70068
Age : 60
Localisation : Franche Comté
Points : 129842
Date d'inscription : 07/09/2004 -
Re: Vulnérabilité sur I.E., d'autres navigateurs touchés
par Rastalion69 Mar Nov 29 2005, 12:29
me semble t-il qu'il ont mis a jour chez mozilla mais j'ai pas retrouver la note qui coresspondait
Rastalion69- Rue d'la Gouaille
-
Nombre de messages : 22654
Age : 56
Localisation : le cul sur ma chaise
Humeur : aucun me fait chiez
Points : 8977
Date d'inscription : 19/09/2005
Sujets similaires» Si tu touches à ma fraise je t'explose
» Navigateurs : SeaMonkey 1.0.4, Firefox 1.5.0.6 et Opera 9.01
» DivX lance un plugin pour navigateurs web
» Forte progression du nombre de bugs de navigateurs Web
» Opera 9.5 : l'outsider des navigateurs est disponible en version finale
» Navigateurs : SeaMonkey 1.0.4, Firefox 1.5.0.6 et Opera 9.01
» DivX lance un plugin pour navigateurs web
» Forte progression du nombre de bugs de navigateurs Web
» Opera 9.5 : l'outsider des navigateurs est disponible en version finale
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum