Nouvelle faille de sécurité pour Internet Explorer 7

Le par  |  88 commentaire(s)
ie7

Lors de la navigation avec Internet Explorer, si l'adresse saisie par l'utilisateur pointe vers une page web temporairement inaccessible, une page web navcancl.

Ie7Lors de la navigation avec Internet Explorer, si l'adresse saisie par l'utilisateur pointe vers une page web temporairement inaccessible, une page web navcancl.htm générée en local prend alors le relais. Celle-ci indique que la page web désirée est indisponible et lui propose de la charger à nouveau en cliquant sur un lien " Actualisez le page ".

Malheureusement ce procédé pourrait, selon Aviv Raff, un développeur israélien, être exploité à des fins malveillantes. En effet, lors de l'ouverture de la page navcancl.htm, il serait possible de masquer une partie du contenu de la barre d'adresse. Les pirates pourrait alors exploiter cette faille en générant la page navcancl.htm en y incluant un lien pointant vers une fausse page web dans le cadre d'une arnaque de type phishing ( ou hameçonnage ) ou une page web contenant un code malicieux, sans que l'internaute ne s'aperçoive de quoi que ce soit.

Les utilisateurs qui, par réflexe, actualiseront la page en cliquant sur ce lien seront ainsi en proie au vol de leurs données personnelles ou à l'exécution d'un code malicieux dont les suites sont bien connues, à savoir la transformation de l'ordinateur en machine zombie servant à l'envoi massif de courriers indésirables ou au lancement d'attaques de grande envergure de type déni de services.

Pour l'instant, aucun correctif ne comble ce trou de sécurité qui impacte Internet Explorer 7 dans ses moutures pour Windows XP et Windows Vista. Jusqu'à sa disponibilité, redoublez donc de vigilance ou optez tout simplement pour un autre navigateur web. Firefox ou Opera par exemple.
Complément d'information
  • Internet Explorer 7 pour planter des arbres
    Microsoft propose désormais aux internautes français de participer à la campagne Carbon Grove avec en point d'orgue la plantation d'un arbre via Internet Explorer 7.
  • Trucs et astuces pour optimiser Internet Explorer 7
    Officiellement lancé le 18 octobre 2006, pour tenter d’endiguer l’engouement grandissant pour son rival Firefox de la fondation Mozilla, Internet Explorer 7 a subi un profond remaniement pour répondre aux exigences des internautes. ...

Vos commentaires Page 1 / 9

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #161393
"Les pirates pourrait alors exploiter cette faille en générant la page navcancl.htm en y incluant un lien pointant vers [...] une page web contenant exécutant un code malicieux, sans que l'internaute ne s'aperçoive de quoi que ce soit."


non mais je rêve! GNT est vraiment pitoyable... les newsers ne prennent même pas le temps de lire correctement les alertes de sécurité et s'amusent à inventer des conséquences dramatiques aux plus petites failles d'IE

cette faille ne permet PAS d'executer du code malicieux
la seule chose qu'elle permet, c'est de remplacer le lien "raffraichir la page" de la page d'erreur par défaut par un autre lien, ce qui en fait probablement la faille la moins dangereuse que l'on puisse imaginer

alors STOP la désinformation!

au passage, depuis la sortie d'IE7, il n'y a eu aucune faille de sécurité critique (c à d permettant l'execution de code malicieux)... sur la même période de temps firefox en a eu plusieurs... pourquoi ne pas conseiller aux utilisateurs de firefox de passer sur IE7' ils seraient bien plus en sécurité...

ah oui c'est vrai, c'est plus tendance de cracher sur IE et d'écrire des news sans réfléchir pour faire plaisir aux quelques trolleurs qui polluent systématiquement les commentaires de news qui contiennent le mot "microsoft"


Jusqu'à ce que GNT arrete d'écrire des news poubelles, il est recommandé de vérifier la fiabilité des informations en remontant à la source, ou d'opter pour un autre site de news pour s'informer. PCInpact ou Clubic par exemple.
Le #161394
Trop gros, passera pas


(soupir...)
Le #161400
lol
Tu sais lire link83 '''
Le #161402
Je pense que les 2 derniers paragraphes sont inutiles (pour le 2eme la fin).
Le #161406
LordWolfy>
et toi, tu comprends ce que tu lis'

non sérieux, la prochaine fois que tu veux critiquer quelqu'un, donne plus de détails, parce qu'un simple "tu sais lire'" ça donne l'impression que tu n'as rien à dire... ce qui est probablement le cas!


"Les utilisateurs qui, par réflexe, actualiseront la page en cliquant sur ce lien seront ainsi en proie au vol de leurs données personnelles ou à l'exécution d'un code malicieux dont les suites sont bien connues, à savoir la transformation de l'ordinateur en machine zombie servant à l'envoi massif de courriers indésirables ou au lancement d'attaques de grande envergure de type déni de services."


les newsers sont payés à la ligne'
parce que là franchement, nous pondre un paragraphe sur les réseaux zombies alors que la faille dont la news est sensée parler ne permet meme pas l'execution de code (et donc ne permet pas l'infection d'un pc pour le transformer en pc zombie), c'est quand même très hors sujet, et de nature à tromper les anti microsoft primaires qui n'ont pas de grandes connaissances en sécurité et dont l'opinion est facilement influencée par les news trolleuses...
Le #161407
link, je te conseille vivement de relire le paragraphe juste au-dessus de celui que tu as cité...
Anonyme
Le #161408
completement d'accord avec link83
je ne critique pas le travaille des newsers de generation nt qui produisent la plupart du temps (pour pas dire tout le temps) des news d'excellente qualité
mais la il faut bien reconnaitre que les risques mis en avant sont quelques peu exagérés
Le #161409
Après vérification cette faille est extrêmement dangereuse et il est bon de bien lire l'article avant de virer au ridicule.
Le #161414
je suis un peu d'accord sur le fait que les conséquences sont encore plus vaste que celles citées dans la news, alors pourquoi insister sur machine zombie etc. je ne sais pas.

Cela dit, link83 entre ce que tu dis et la news je ne vois aucune différence
=>la page en question permet de rediriger vers n'importe quelle page, donc potentiellement une page dangereuse, qui elle peut contenir du code malicieux. Moi j'ai compris ça comme ça.
"Les pirates pourrait alors exploiter cette faille en générant la page navcancl.htm en y incluant un lien pointant vers une fausse page web". Je crois que c'est assez clair là

en y incluant un lien pointant vers une FAUSSE page web
en y incluant un lien pointant vers une FAUSSE page web
en y incluant un lien pointant vers une FAUSSE page web
en y incluant un lien pointant vers une FAUSSE page web
Le #161417
Salut,
avec un peu de bol, cette fausse page web potentielle sera détectée comme "site frauduleux" par l'anti-phishing de IE7 qui semble pas si mauvais que ça...
Enfin, je pense que cette """faille""" n'est pas plus /méchante/ que celle qui permet de ruser les anti-phishing de Firefox ou d'Opera en rajoutant juste un / dans l'url d'un site déja référencé comme "pêcheur de tanche"
http://kaneda.bohater.net/security/20070111-firefox_2.0.0.1_bypass_phishing_protection.php , découverte il y a déjà trois mois et qui n'a même pas fait l'objet d'une news sur GNT
En tout cas, c'est pas une ch'tite broutille comme ça qui pourrait _justifier_ l'adoption d'Opera ou de Firefox par un utilisateur d'Internet Explorer
@+
--
Pierre
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]