Faille sécu dans la famille Mozilla
Le
Sergio
Y'a de la faille dans l'air :
http://www.pcinpact.com/actu/news/D...ozilla.htm
- Toutes les versions (sauf Camino ?) sont impactées.
- En gros, éviter de naviguer sur un site où vous entrez des infos
confidentielles, pendant qu'un autre site "louche" est ouvert dans un
autre onglet
PS: Je serais curieux de savoir si sur les navigateurs à base d'onglets
et de IE (AvantBrowser) ça marche aussi.
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
http://www.pcinpact.com/actu/news/D...ozilla.htm
- Toutes les versions (sauf Camino ?) sont impactées.
- En gros, éviter de naviguer sur un site où vous entrez des infos
confidentielles, pendant qu'un autre site "louche" est ouvert dans un
autre onglet
PS: Je serais curieux de savoir si sur les navigateurs à base d'onglets
et de IE (AvantBrowser) ça marche aussi.
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Poser une question
Un site où le texte est écrit en blanc sur noir peut-être être
considéré comme crédible, à défaut d'être lisible ?
--
;-)
Pas vu de signalement de ce genre sur mozilla.
En ce qui concerne IE il demeure, sur XP SP2, une faille non corrigée.
http://www.pcinpact.com/actu/news/D...ozilla.htm
Pour la premiere faille, a priori ca marche avec tout navigateur supportant
le javascript et ou le javascript est activé (IE compris).
En fait, je n'appelerai pas ca une faille de sécurité mais juste une idée
toute conne et qui marche vachement bien. Le principe est simple: tu navigue
tranquillement sur le site d'un méchant hacker et tout d'un coup tu vois un
lien disant: cliquez ici pour ouvrir la page du crédit agricole dans un
nouvel onglet/fenetre. Alors tu te dit: "cool, le CA c'est ma banque et
j'avais justement envie d'y aller". Alors tu clique et tu regarde béatement
la page d'accueil du CA se charger dans un nouvel onglet/fenetre. Puis
soudainement une boite de message s'affiche et t'annonce: veuillez entrer
votre numéro de compte, votre mot de passe, votre numéro de CB, son code PIN
et sa date d'expiration. Vu que tu est sur le site du CA, tu entres ces
infos sans te poser de questions. Sauf que cette fenetre a en fait été
affichée par le site du méchant hacker, toujours ouvert dans l onglet/page
derriere, et non pas par le site du CA.
Je ne vois pas trop ou est la faille de sécurité la dedans. C'est juste une
utilisation judicieuse de javascript.
http://www.pcinpact.com/actu/news/D...ozilla.htm
Tous les sites de sécurité s'en s'ont fait écho pourtant. Secunia par
exemple il y a 2j :
http://secunia.com/advisories/12712/
Auriez vous la référence ?
On pourrait imaginer que la page qui ouvre un popup se voit affecter le
focus, etc... Il y a déjà bcp de règles en JavaScript qui limitent bcp
l'exécution...