Faille '' zero-day '' pour IE et Firefox

Le par  |  51 commentaire(s)
IE 7

Les pirates informatiques sont décidément bien cruels ; ou fort adroits.

Les pirates informatiques sont décidément bien cruels ; ou fort adroits. Ou les deux. En tout cas, ils se basent une fois encore sur une fonctionnalité bien pratique de nos navigateurs Internet pour tenter d'accéder à nos données personnelles.


Epier nos faits et gestes...
Ie 7L'expert de la sécurité informatique Symantec fait état d'une faille dite "zero-day" (à action immédiate) frappant toutes les versions de Microsoft Internet Explorer (y compris la dernière IE 7/7+ bêta 2) et de Mozilla Firefox/SeaMonkey, et ce sur toutes les plate-formes pour lesquelles ces navigateurs Internet ont été développés (Windows, MacOS X, voire Linux). En cause, une "coquille" dans la manière dont ces applications gèrent certaines particularités du langage JavaScript, notamment lors du remplissage de formulaires sécurisés sur certaines pages Web.

FirefoxUne fonction, baptisée "OnKeyDown", est implémentée dans chacun de ces logiciels ; elle permet de garder temporairement en cache les caractères alpha-numériques entrés par l'internaute, au cas où il se tromperait dans la saisie d'un identifiant ou d'un mot de passe. On peut notamment interrompre la saisie, d'effacer un ou plusieurs caractères, puis reprendre la frappe, avant de valider.

La faille réside dans le fait que les caractères saisis peuvent être détournés à l'insu de l'utilisateur, notamment parce que chaque frappe est gardée momentanément en mémoire. La fonction "OnKeyDown" (littéralement : au moment où on appuie sur une touche) est souvent associée à son inverse, "OnKeyUp", qui valide le caractère tapé une fois que le doigt libère la touche en question, et autorise la répétition de la frappe ; une fonction "OnKeyPress" associe les deux, et boucle la boucle.


Internet Explorer, Firefox, même combat...
Cette fonctionnalité bien pratique facilite la vie de l'internaute lors du remplissage de formulaires en ligne, dans la mesure où elle n'impose pas d'effacer tous les caractères saisis en cas d'erreur, mais elle présente, comme on le voit aujourd'hui, un sérieux risque en terme de sécurité. En la détournant via une classique (hélas !) tentative de "phishing", on peut mémoriser toutes les saisies au moment même où elles sont exécutées. Lors d'un achat par carte bancaire en ligne, par exemple, le risque est évident.

Etant donné qu'il n'existe pas vraiment de parade contre cette "particularité" de confort, Symantec, mais aussi Secunia, conseillent aux internautes d'être vigilants lorsqu'ils visitent des sites sensibles, et de s'assurer autant que faire se peut de l'adresse sur laquelle ils vont divulguer des données personnelles. Une fois n'est pas coutume, tous les navigateurs Internet mentionnés plus haut (Opera en est semble-t-il protégé) sont concernés, ce qui renverra dos à dos les tenants de chaque camp...

Un développeur du nom de Charles McAuley est à l'origine de la découverte de cette vulnérabilité, dont il poste une preuve de concept succinte sur son site. Symantec, de son côté, recommande de désactiver la fonction "active scripting" sur les navigateurs concernés, faute de mieux.



Complément d'information

Vos commentaires Page 1 / 6

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #111968
Erh... le "proof-of-concept" semble viser uniquement les windows. Je sais que windows est ultra-majoritaire, mais quid d'un proof-of-concept pour tout ce qui n'est pas Windows.

Je cite le code :

"//document.onKeyUp = doKeyUp;
var saved;
var e ;
var mystring = "C:\BOOT.INI";"

Or, pas de boot.ini en dehors de Windows, non '

Maintenant, on va voir le temps que nécessitera la correction de cette faille.

Je ne sais pas pourquoi, mais je sens que ce fil va vite partir en vrille...

Et apparemment, cette personne semble avoir une dent contre Mozilla.org '!

"Anyways, my bug (No. 290478 ) to firefox was marked a dupe of a bug that
dated back to 2000 (No. 56236). This stuff is publicly
documented/available, but you have to know what your looking for.
Hidden in plain site you could say."

De plus, le bug 56236 est un doublon du bug 258875 :

https://bugzilla.mozilla.org/show_bug.cgi'id=258875

De plus, avec une version du tronc, j'ai ce code d'erreur dans la console JS :

"Error: [Exception... "'Permission denied to set property XULElement.selectedIndex' when calling method: [nsIAutoCompletePopup::selectedIndex]" nsresult: "0x8057001e (NS_ERROR_XPC_JS_THREW_STRING)" location: "JS frame :: file:///home/fred/essai.html :: onkeydown :: line 1" data: no]
Source File: file:///home/fred/essai.html
Line: 1"

Etrange non '!
Le #111969
Et les autres navigateurs (opera par exemple) '
Le #111974
La faille ne date pas d'hier et à été dévoilée, désolé, ce n'est plus zero-day !
deathscythe0666 Hors ligne VIP 5898 points
Le #111980
Cleaner1974 :

Ca fonctionne très bien sous linux, il suffit de mettre autre chose que c:boot.ini ...

Quand on dit que Javascript (ok, permet de faire de bonnes choses), c'est de la merde ... d'autant que ce n'est pas une vraie faille, c'est un script tout ce qu'il y a de plus ordinaire !
Le #111982
deathscythe0666 >Oui mais c'est la mode en ce moment
Le #111993
bof pas une grosse faille
Le #111996
je suis désolé mais je n'ai pas très bien compris. Le principe de garder en mémoire les champs n'est pas nouveau....
Ca donne l'impression qu'ils viennent de comprendre que cela peut etre utilisé autrement... je comprends pas <img src="/img/emo/confused.gif" alt="<img src="/img/emo/confused.gif" alt=":'" />" />

En plus je comprends pas, dans l'exemple, ça nous fait marquer dans le champs c://boot.ini ... et alors' <img src="/img/emo/confused.gif" alt=":'" />
Le #111997
Si j'ai bien compris, il faut d'abord se faire "pièger" par un lien de phishing '
Donc c'est pas du Zéro day, c'est de la bétise de l'internaute au départ...
Le #112016
vous avez po remarqué
c un gars de chez symantec










donc y a rien à craindre
Le #112023
+1 lekillerderpg !! Ce sont pas des lumières chez Symantec ! Quand on voit la passeoire d'AV qu'ils nous vendent !

Et puis, pour éviter tout ça, il suffit d'utiliser le clavier virtuel !! =þ [je précise, c'est une blague]
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]