Nouvelle faille de sécurité pour Internet Explorer 7

Lors de la navigation avec Internet Explorer, si l'adresse saisie par l'utilisateur pointe vers une page web temporairement inaccessible, une page web navcancl.htm générée en local prend alors le relais. Celle-ci indique que la page web désirée est indisponible et lui propose de la charger à nouveau en cliquant sur un lien " Actualisez le page ".

Malheureusement ce procédé pourrait, selon Aviv Raff, un développeur israélien, être exploité à des fins malveillantes. En effet, lors de l'ouverture de la page navcancl.htm, il serait possible de masquer une partie du contenu de la barre d'adresse. Les pirates pourrait alors exploiter cette faille en générant la page navcancl.htm en y incluant un lien pointant vers une fausse page web dans le cadre d'une arnaque de type phishing ( ou hameçonnage ) ou une page web contenant un code malicieux, sans que l'internaute ne s'aperçoive de quoi que ce soit.

Les utilisateurs qui, par réflexe, actualiseront la page en cliquant sur ce lien seront ainsi en proie au vol de leurs données personnelles ou à l'exécution d'un code malicieux dont les suites sont bien connues, à savoir la transformation de l'ordinateur en machine zombie servant à l'envoi massif de courriers indésirables ou au lancement d'attaques de grande envergure de type déni de services.

Pour l'instant, aucun correctif ne comble ce trou de sécurité qui impacte Internet Explorer 7 dans ses moutures pour Windows XP et Windows Vista. Jusqu'à sa disponibilité, redoublez donc de vigilance ou optez tout simplement pour un autre navigateur web. Firefox ou Opera par exemple.