Hier, la société danoise Secunia spécialisée dans la sécurité informatique, publiait une deuxième preuve de concept affectant le tout récent navigateur Web Internet Explorer 7 en pointant tout particulièrement du doigt, une possibilité de spoofing d'URL* dans la barre d'adresse (voir notre actualité).
Comme après la révélation de la première faille supposée concernant IE7, la réaction de la firme de Redmond par l'entremise d'un billet publié sur l'un des blogs sécurité de Technet n'aura pas tardé.
La réaction de Microsoft
Contrairement à la dernière fois, pas de démenti au sujet de la réelle application touchée par la faille qui semble bel et bien réelle et présente dans IE7 ( sous XP SP2 ) qui n'en est donc pas le simple vecteur.
Néanmoins, son champ d'application demeure restreint pour Microsoft qui met en avant le fait que la supercherie opérée par spoofing d'URL peut-être facilement décelée par l'utilisateur. Ce dernier doit en effet, pour se voir afficher une fenêtre popup faisant faussement référence à un domaine, avoir au préalable cliqué sur un lien spécifiquement formé contenu dans un site malicieux ou dans un courriel. Une fois le popup présent sur l'écran, il arbore ainsi dans la barre d'adresse une URL maquillée mais l'utilisateur peut aisément s'en rendre compte par le biais d'un clic de souris dans le navigateur même ou dans la barre d'adresse, suivi d'un petit coup de scrolling.
Le leader mondial du logiciel estime ainsi que le danger représenté par la faille est assez minime mais après tout, Secunia l'avait bien qualifié de faiblement critique.
En outre, Microsoft, tout en poursuivant ses investigations, précise que pour l'heure cette vulnérabilité n'a pas fait l'objet d'une quelconque exploitation dans le cadre d'une attaque de type hameçonnage notamment et d'affirmer que le cas échéant la liste utilisée pour son outil anti-phishing intégré dans IE7 sera immédiatement mise à jour.
* rajout de caractères dans l'URL sans que ces derniers ne soient affichés afin de faire croire à l'utilisateur qu'une page Web ici sous forme de popup, provient d'un certain domaine alors qu'il n'en n'est rien
Comme après la révélation de la première faille supposée concernant IE7, la réaction de la firme de Redmond par l'entremise d'un billet publié sur l'un des blogs sécurité de Technet n'aura pas tardé.
La réaction de Microsoft
Contrairement à la dernière fois, pas de démenti au sujet de la réelle application touchée par la faille qui semble bel et bien réelle et présente dans IE7 ( sous XP SP2 ) qui n'en est donc pas le simple vecteur.
Néanmoins, son champ d'application demeure restreint pour Microsoft qui met en avant le fait que la supercherie opérée par spoofing d'URL peut-être facilement décelée par l'utilisateur. Ce dernier doit en effet, pour se voir afficher une fenêtre popup faisant faussement référence à un domaine, avoir au préalable cliqué sur un lien spécifiquement formé contenu dans un site malicieux ou dans un courriel. Une fois le popup présent sur l'écran, il arbore ainsi dans la barre d'adresse une URL maquillée mais l'utilisateur peut aisément s'en rendre compte par le biais d'un clic de souris dans le navigateur même ou dans la barre d'adresse, suivi d'un petit coup de scrolling.
Le leader mondial du logiciel estime ainsi que le danger représenté par la faille est assez minime mais après tout, Secunia l'avait bien qualifié de faiblement critique.
En outre, Microsoft, tout en poursuivant ses investigations, précise que pour l'heure cette vulnérabilité n'a pas fait l'objet d'une quelconque exploitation dans le cadre d'une attaque de type hameçonnage notamment et d'affirmer que le cas échéant la liste utilisée pour son outil anti-phishing intégré dans IE7 sera immédiatement mise à jour.
* rajout de caractères dans l'URL sans que ces derniers ne soient affichés afin de faire croire à l'utilisateur qu'une page Web ici sous forme de popup, provient d'un certain domaine alors qu'il n'en n'est rien
