Deux nouvelles failles pour Internet Explorer 6

Le par  |  3 commentaire(s)
internet explorer IE logo

La première implique un problème de script dans une page web qui peut permettre à une personne malveillante de voir les informations dans la fenêtre ouverte du navigateur ( par exemple, un webmail ) venant d'une autre page au contenu malveillant.

Internet explorer ie logoLa première implique un problème de script dans une page web qui peut permettre à une personne malveillante de voir les informations dans la fenêtre ouverte du navigateur ( par exemple, un webmail ) venant d'une autre page au contenu malveillant. Cependant, cette faille a été jugée par les chercheurs moins dangereuse qu'une brèche consistant en une interaction entre l'utilisateur et les données sensibles présentes dans d'autres fenêtres du fureteur de Microsoft.

" Plusieurs personnes ont passé un peu plus de temps à découvrir cette faille particulière et alors qu'il s'agit plutôt d'un exploit subtile avec un niveau de risque amoindri, cette faille nous a quand même inquiétés. " indiqué Bojan Zdrnja de SANS Internet Storm Center.


Microsoft déjà sur le coup
Adrian Stone, du centre de recherches en sécurité chez Microsoft a confirmé que la société était en train d'examiner ce problème. " Jusqu'ici, nous ne sommes pas au courant d'une quelconque attaque exploitant cette vulnérabilité, mais nous voulons avertir chacun que nous sommes en train d'enquêter sur ce problème. " a t-il indiqué sur le site Technet de l'éditeur.

Par ailleurs, SANS qui supposait au départ que cette vulnérabilité pouvait atteindre Firefox a averti, après des tests plus approfondis, que le fureteur libre de Mozilla n'était pas concerné par cette faille. Internet Explorer 7 est également écarté de tout risque.

Une faille un peu plus importante concerne la manière dont sont supportées les HTA ( HTML Applications ). Un utilisateur pourrait être victime d'un dossier malveillant en double-cliquant sur celui-ci, ce dernier exécutant du code malveillant. Le dossier devra être consulté par SMB ( Serve Message Block ) ou WebDAV ( Web-based Distributed Authoring and Versioning ) pour que la brèche puisse être exploitée.

" La version actuellement disponible du PoC ( proof of concept ) qui a été publiée est limitée car elle requiert que l'utilisateur double-clique sur une icône pour éxécuter le chargement d'un code malicieux mais nous pouvons nous attendre à une utilisation concrète de cet exploit très rapidement. "

Microsoft a annoncé qu'il étudiait également cette faille.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #117165
Le prochain patch tuesday va être fortement "internet explorer"isé

Je suppose que la première faille doit être mise hors d'état de nuire en virant le support du scripting '

Simple question : combien de failles d'IE6 (depuis 2001) étaient "tuables" en désactivant le scripting '
Le #117202
Conclusion :
Passez à un navigateur plus récent (Firefox, IE 7, Opéra, ...).

Notez que je ne veux pas lancer un troll : ceux qui n'aiment pas le libre seront heureux de voir que IE 7 apporte des améliorations non négligeables, comme la navigation par onglet ou une meilleure sécurité (bien qu'il n'ait pas été capable de me faire lacher Firefox )
Le #117297
J'ai l'impression que le thème "failles dans les produits Microsoft" a l'air d'avoir moins de réactivité !

D'abord, est-ce une information '
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]