Internet Explorer 7 : troisième vulnérabilité

Le par  |  21 commentaire(s)
Secunia

Une véritable histoire passionnelle est en train de naître sous nos yeux, celle dont les protagonistes sont la société danoise spécialisée dans la sécurité informatique Secunia et l'un des produits phares de la firme de Redmond, Internet Explorer dans sa mouture estampillée 7.

Une véritable histoire passionnelle est en train de naître sous nos yeux, celle dont les protagonistes sont la société danoise spécialisée dans la sécurité informatique Secunia et l'un des produits phares de la firme de Redmond, Internet Explorer dans sa mouture estampillée 7. Ainsi, Secunia maintient son rythme de croisière et vient de publier en l'espace de 11 jours très exactement, son troisième bulletin de sécurité incriminant une faille présente dans IE7 (XP SP2).

Néanmoins, quelques innovations, ce bulletin a été mis en ligne un lundi et non un mercredi comme les précédents, mais bien moins anecdotique, la dangerosité de la vulnérabilité ici dénoncée est montée d'un cran puisqu’elle est qualifiée de modérément critique (niveau 3 sur une échelle de 5) alors que les autres étaient considérées comme peu critiques (niveau 2).


Spoofing comme dans la deuxième faille
Preuve de concept à l'appui, Secunia révèle donc la présence d'une vulnérabilité dans IE7 qui pourrait être exploitée par une personne mal intentionnée afin de " spoofer " le contenu de sites Web dans le but d'induire en erreur un internaute et de lui soutirer des informations personnelles.

Plus précisément, si l'internaute navigue sur un site malicieux et que parallèlement, il ouvre un autre site, de confiance celui-ci, tel le site d'un organisme bancaire susceptible d'ouvrir une fenêtre sous forme de pop-up, du contenu pourrait être injecté dans cette fenêtre pop-up afin d'inciter l'utilisateur à entrer des données sensibles qui seraient en réalité recueillie par un pirate.

En attendant un correctif, Secunia fait remarquer qu'en 2004 une vulnérabilité similaire avait  déjà affecté plusieurs navigateurs dont IE6 avant que Microsoft ne prodigue un soin palliatif et Secunia de conseiller pour l'heure aux utilisateurs de IE7 de n'ouvrir qu'une seule fenêtre lorsqu'ils sont sur un site où ils doivent communiquer des informations personnelles.


Réactions attendues et critiques d'ores et déjà émises
Comme à l'accoutumée, reste à attendre la réaction de Microsoft qui ne saurait tarder, mais pour le leader mondial du logiciel, si cette vulnérabilité est bel et bien avérée, le compteur montera à deux pour le nombre de failles concernant IE7 puisque qu'il n'a pas reconnu l'existence de la première découverte par Secunia prétextant que pour cette dernière son fureteur n'en était que le vecteur.

A noter également que déjà, sur des forums spécialisés, certains font remarquer que le test proposé par Secunia afin de vérifier la véracité de la faille publiée, fonctionne dans certaines circonstances (sous XP) avec IE6 mais également avec Firefox 1.5 voire 2.0 et dénoncent par là même la relative mauvaise foi de la société danoise qui dans son bulletin n'a parlé que de IE7.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #139395
Fixation ou pas suffit sur le site de secunia de prendre le listing des failles toutes années confondu pour IE6 et 7 et Firefox toutes version pour voir le nombre de failles non patché chez le fureteur de chez Redmond à coté de Mozilla FF
Le #139397
Vous allez les compter jusqu'à combien '
Le #139398
j'aime pas le gruyère
Le #139402
IE7 ressemble à l'emmental qu'au gruyère !
Le #139406
Rien à signaler avec Firefox 2.0 et une version du tronc d'hier (pré-3.0alpha1) sous Linux.

Windows uniquement cette "faille" '
Le #139408
Ah moi j'ai quelque chose à signaler sur firefox 2 sous linux. Tu as du cocher une option de trop
Le #139411
Peut-être car je ne garde que l'option "Disable or replace context menu" (désolé, j'ai la version anglaise sous la main) dans les réglages du JS

Qu'est-ce qui s'affiche '
Le #139416
décidement, "ils" lui en veulent à IE7
Le #139418
Ils ne font que répondre à MS qui joue tout - ou presque - sur la sécurité de cette version d'IE...
Le #139427
Firefox , powaaaaaa

je suis deja dehors
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]