Deux nouvelles failles pour Internet Explorer 6
Le par Cédric B.
La première implique un problème de script dans une page web qui peut permettre à une personne malveillante de voir les informations dans la fenêtre ouverte du navigateur ( par exemple, un webmail ) venant d'une autre page au contenu malveillant.
La première implique un problème de script dans une page web qui peut permettre à une personne malveillante de voir les informations dans la fenêtre ouverte du navigateur ( par exemple, un webmail ) venant d'une autre page au contenu malveillant. Cependant, cette faille a été jugée par les chercheurs moins dangereuse qu'une brèche consistant en une interaction entre l'utilisateur et les données sensibles présentes dans d'autres fenêtres du fureteur de Microsoft." Plusieurs personnes ont passé un peu plus de temps à découvrir cette faille particulière et alors qu'il s'agit plutôt d'un exploit subtile avec un niveau de risque amoindri, cette faille nous a quand même inquiétés. " indiqué Bojan Zdrnja de SANS Internet Storm Center.
Microsoft déjà sur le coup
Adrian Stone, du centre de recherches en sécurité chez Microsoft a confirmé que la société était en train d'examiner ce problème. " Jusqu'ici, nous ne sommes pas au courant d'une quelconque attaque exploitant cette vulnérabilité, mais nous voulons avertir chacun que nous sommes en train d'enquêter sur ce problème. " a t-il indiqué sur le site Technet de l'éditeur.
Par ailleurs, SANS qui supposait au départ que cette vulnérabilité pouvait atteindre Firefox a averti, après des tests plus approfondis, que le fureteur libre de Mozilla n'était pas concerné par cette faille. Internet Explorer 7 est également écarté de tout risque.
Une faille un peu plus importante concerne la manière dont sont supportées les HTA ( HTML Applications ). Un utilisateur pourrait être victime d'un dossier malveillant en double-cliquant sur celui-ci, ce dernier exécutant du code malveillant. Le dossier devra être consulté par SMB ( Serve Message Block ) ou WebDAV ( Web-based Distributed Authoring and Versioning ) pour que la brèche puisse être exploitée.
" La version actuellement disponible du PoC ( proof of concept ) qui a été publiée est limitée car elle requiert que l'utilisateur double-clique sur une icône pour éxécuter le chargement d'un code malicieux mais nous pouvons nous attendre à une utilisation concrète de cet exploit très rapidement. "
Microsoft a annoncé qu'il étudiait également cette faille.
Complément d'information
-
On aurait pu penser qu'avec la sortie d'Internet Explorer 7, les utilisateurs d'IE 6 auraient la paix, au rayon sécurité.
Poser une question
Je suppose que la première faille doit être mise hors d'état de nuire en virant le support du scripting '
Simple question : combien de failles d'IE6 (depuis 2001) étaient "tuables" en désactivant le scripting '
Passez à un navigateur plus récent (Firefox, IE 7, Opéra, ...).
Notez que je ne veux pas lancer un troll : ceux qui n'aiment pas le libre seront heureux de voir que IE 7 apporte des améliorations non négligeables, comme la navigation par onglet ou une meilleure sécurité (bien qu'il n'ait pas été capable de me faire lacher Firefox
D'abord, est-ce une information '