Nouvelle faille IE - Attaques "phishing" - MAJ

Le SP2 tombe à point nommé ! Une nouvelle faille plutôt génante vient d'être trouvée sous Internet Explorer 5.0, 5.5 et 6.0.

Elle permet la réalisation d'attaques dites de type "phishing" qui consiste à faire une contre façon d'un site existant afin de récupérer des informations (coordonnées bancaires etc).

Cette manipulation est possible car Internet Explorer ne met pas correctement à jour la barre d'adresse après qu'une séquence d'actions aient été réalisées sur une fenêtre nommée. De ce fait il suffit de créer une page avec un nom identique sur laquelle quelqu'un va souvent afin de lui faire donner ses informations les plus personnelles.

Effective sur les système Windows XP SP1 et Windows 2000 SP4, il y a néanmoins une parade : la désactivation de la fonction "Active Scripting" . Pour se faire, allez dans les options d'Internet Explorer : menu outils, puis options Internet. Une fois la fenêtre affichée, allez à l'onglet sécurité et comme l'icone "Internet" est déjà en surbrillance, vous n'avez qu'a cliquer sur "personnaliser le niveau". Trouvez l'option Active Scripting et désactivez la. Ferme tout et le tour est joué ;).

Sous Windows XP la parade consiste en l'installation du SP2..

Compléments, par Akerone :

L'installation du SP2 créé une nouvelle fonctionnalité de sécurité : La Zone ID (Détermine la zone de sécurité des objets ). Dans certains cas, il est possible que Explorer n'alerte pas l'utilisateur à l'ouverture.

De plus, le rapport indique que les fichiers téléchargés depuis une zone non sécurisée par IE ( Internet Explorer ) ou OE ( Outlook Express ) sont marqués " Zone identifier 3 ". Avertissant d'un danger potentiel.