Nouvelle faille de sécurité pour Internet Explorer 7
Le par Dimitri T.
Lors de la navigation avec Internet Explorer, si l'adresse saisie par l'utilisateur pointe vers une page web temporairement inaccessible, une page web navcancl.
Lors de la navigation avec Internet Explorer, si l'adresse saisie par l'utilisateur pointe vers une page web temporairement inaccessible, une page web navcancl.htm générée en local prend alors le relais. Celle-ci indique que la page web désirée est indisponible et lui propose de la charger à nouveau en cliquant sur un lien " Actualisez le page ".Malheureusement ce procédé pourrait, selon Aviv Raff, un développeur israélien, être exploité à des fins malveillantes. En effet, lors de l'ouverture de la page navcancl.htm, il serait possible de masquer une partie du contenu de la barre d'adresse. Les pirates pourrait alors exploiter cette faille en générant la page navcancl.htm en y incluant un lien pointant vers une fausse page web dans le cadre d'une arnaque de type phishing ( ou hameçonnage ) ou une page web contenant un code malicieux, sans que l'internaute ne s'aperçoive de quoi que ce soit.
Les utilisateurs qui, par réflexe, actualiseront la page en cliquant sur ce lien seront ainsi en proie au vol de leurs données personnelles ou à l'exécution d'un code malicieux dont les suites sont bien connues, à savoir la transformation de l'ordinateur en machine zombie servant à l'envoi massif de courriers indésirables ou au lancement d'attaques de grande envergure de type déni de services.
Pour l'instant, aucun correctif ne comble ce trou de sécurité qui impacte Internet Explorer 7 dans ses moutures pour Windows XP et Windows Vista. Jusqu'à sa disponibilité, redoublez donc de vigilance ou optez tout simplement pour un autre navigateur web. Firefox ou Opera par exemple.
Complément d'information
-
A l'occasion de la RSA Conference, rencontre mondiale sur la sécurité informatique qui a débuté le 5 février et se terminera le 9 février à San Francisco, la société... -
Proposée à l'heure actuelle en anglais, allemand et japonais, cette nouvelle mouture peut être téléchargée gratuitement sur le site du géant des logiciels.
Poser une question
non mais je rêve! GNT est vraiment pitoyable... les newsers ne prennent même pas le temps de lire correctement les alertes de sécurité et s'amusent à inventer des conséquences dramatiques aux plus petites failles d'IE
cette faille ne permet PAS d'executer du code malicieux
la seule chose qu'elle permet, c'est de remplacer le lien "raffraichir la page" de la page d'erreur par défaut par un autre lien, ce qui en fait probablement la faille la moins dangereuse que l'on puisse imaginer
alors STOP la désinformation!
au passage, depuis la sortie d'IE7, il n'y a eu aucune faille de sécurité critique (c à d permettant l'execution de code malicieux)... sur la même période de temps firefox en a eu plusieurs... pourquoi ne pas conseiller aux utilisateurs de firefox de passer sur IE7' ils seraient bien plus en sécurité...
ah oui c'est vrai, c'est plus tendance de cracher sur IE et d'écrire des news sans réfléchir pour faire plaisir aux quelques trolleurs qui polluent systématiquement les commentaires de news qui contiennent le mot "microsoft"
Jusqu'à ce que GNT arrete d'écrire des news poubelles, il est recommandé de vérifier la fiabilité des informations en remontant à la source, ou d'opter pour un autre site de news pour s'informer. PCInpact ou Clubic par exemple.
(soupir...)
Tu sais lire link83 '''
et toi, tu comprends ce que tu lis'
non sérieux, la prochaine fois que tu veux critiquer quelqu'un, donne plus de détails, parce qu'un simple "tu sais lire'" ça donne l'impression que tu n'as rien à dire... ce qui est probablement le cas!
"Les utilisateurs qui, par réflexe, actualiseront la page en cliquant sur ce lien seront ainsi en proie au vol de leurs données personnelles ou à l'exécution d'un code malicieux dont les suites sont bien connues, à savoir la transformation de l'ordinateur en machine zombie servant à l'envoi massif de courriers indésirables ou au lancement d'attaques de grande envergure de type déni de services."
les newsers sont payés à la ligne'
parce que là franchement, nous pondre un paragraphe sur les réseaux zombies alors que la faille dont la news est sensée parler ne permet meme pas l'execution de code (et donc ne permet pas l'infection d'un pc pour le transformer en pc zombie), c'est quand même très hors sujet, et de nature à tromper les anti microsoft primaires qui n'ont pas de grandes connaissances en sécurité et dont l'opinion est facilement influencée par les news trolleuses...