Faille dans IE7 : Microsoft relativise

Le par  |  10 commentaire(s)
Internet Explorer 7 - Logo

Hier, la société danoise Secunia spécialisée dans la sécurité informatique, publiait une deuxième preuve de concept affectant le tout récent navigateur Web Internet Explorer 7 en pointant tout particulièrement du doigt, une possibilité de spoofing d'URL* dans la barre d'adresse (voir notre actualité).

Hier, la société danoise Secunia spécialisée dans la sécurité informatique, publiait une deuxième preuve de concept affectant le tout récent navigateur Web Internet Explorer 7 en pointant tout particulièrement du doigt, une possibilité de spoofing d'URL* dans la barre d'adresse (voir notre actualité).

Comme après la révélation de la première faille supposée concernant IE7, la réaction de la firme de Redmond par l'entremise d'un billet publié sur l'un des blogs sécurité de Technet n'aura pas tardé.


La réaction de Microsoft
Contrairement à la dernière fois, pas de démenti au sujet de la réelle application touchée par la faille qui semble bel et bien réelle et présente dans IE7 ( sous XP SP2 ) qui n'en est donc pas le simple vecteur.

Néanmoins, son champ d'application demeure restreint pour Microsoft qui met en avant le fait que la supercherie opérée par spoofing d'URL peut-être facilement décelée par l'utilisateur. Ce dernier doit en effet, pour se voir afficher une fenêtre popup faisant faussement référence à un domaine, avoir au préalable cliqué sur un lien spécifiquement formé contenu dans un site malicieux ou dans un courriel. Une fois le popup présent sur l'écran, il arbore ainsi dans la barre d'adresse une URL maquillée mais l'utilisateur peut aisément s'en rendre compte par le biais d'un clic de souris dans le navigateur même ou dans la barre d'adresse, suivi d'un petit coup de scrolling.

Le leader mondial du logiciel estime ainsi que le danger représenté par la faille est assez minime mais après tout, Secunia l'avait bien qualifié de faiblement critique.

En outre, Microsoft, tout en poursuivant ses investigations, précise que pour l'heure cette vulnérabilité n'a pas fait l'objet d'une quelconque exploitation dans le cadre d'une attaque de type hameçonnage notamment et d'affirmer que le cas échéant la liste utilisée pour son outil anti-phishing intégré dans IE7 sera immédiatement mise à jour.


* rajout de caractères dans l'URL sans que ces derniers ne soient affichés afin de faire croire à l'utilisateur qu'une page Web ici sous forme de popup, provient d'un certain domaine alors qu'il n'en n'est rien
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #138510
c'est un peu ce que je relativisais http://www.generation-nt.com/actualites/commenter/20138/ie7-internet-explorer-secunia-microsoft-faille-spoofing/'page=2#19 dans la news contre-publicitaire "IE7 : une nouvelle vulnérabilité" <img src="/img/emo/cool.gif" alt="8:" />
Si un utilisateur se fait avoir comme ça avec IE7, je pense qu'il se fera avoir de la même manière avec Opera9 ou Firefox2
Essayez vous verrez
@+
Pierre
Anonyme
Le #138523
Pas sur que les utilisateurs lambda ait ce réflexe...

Demandez autour de vous(des non informaticien ou débutant) s'il savent ce que le phishing, hammeçonnage, etc. la plupart du temps, ils ne le seront pas.
Le #138532

Le #138533
J'ai jeté un coupe d'oeil sur cette "faille", humm comment dire c'est vraiment de la mer**
en gros le gars a l'ouverture du popup il met au début l'adresse du site en cour plus quelque centaine d'espace puis l'adresse de l'autre site , c'est une blague '

Comme le popup est trop petit ont vois le début mais pas la fin de l'adresse


Faut vraiment pas être malin pour ce faire avoir

<script language="JavaScript">
function StartTest()
{
var padding = '';
for ( i=0 ; i<108 ; i++)
{
padding += unescape("%A0");
}
newWindow = window.open("", "Win", "width=500,height=325,scrollbars=yes");
newWindow.moveTo( (screen.width-325) , 0 );
newWindow.document.location = "/result_22542/'" + unescape("%A0") + unescape("%A0") + "http://www.microsoft.com/"+padding;
document.location = "http://www.microsoft.com/windows/ie/default.mspx";
}
</script>
Le #138545
C'est sur qu'a chaque lien cliqué ayant ouvert un popup tout le monde vérifie et fait la démarche indiquée par M$... Nimportnawak cette relativisation !
Le #138559
En tout cas, on verra bien si les sites utilisant cette technique de spoofing exploseront ou pas.
Le #138562
Le #138587
Primo : les gens qui ne sont pas sensibles au phishing ne feront de toute façon pas attention à l'adresse.

Secondo, le filtre Anti-phishing étant à l'heure actuel le plus performant, il y a des chances pour que les sites utilisant ce système soient bloqués.
Le #138644
@tuxthepenguin:
La fenêtre surgissante affichée dans IE7 affiche l'URL du site éventuellement malveillant _sans_aucune_manipulation_ particulière, ni réflexe à avoir !
http://img176.imageshack.us/img176/258/failleiedansie7vh5.png
Quelques autres navigateurs réputés ne font pas mieux
http://img176.imageshack.us/img176/6797/failleiedansoperavf4.png
http://img176.imageshack.us/img176/4769/failleiedansfx2im5.png

par contre IE6 peut effectivement induire en erreur :
http://img48.imageshack.us/img48/6522/failleiedansie6ol1.png
Il parait utile, au moins sur ce point, de mettre à jour
Le #138656
It is not a bug, it is a feature
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]