pour ceux qui ont téléchargé le patch 832894
Le
Jceel
sans lire à quoi ça sert et remédier à leur risques et périls au
problème du spoofing
Microsoft vient de publier un patch cumulatif fixant plusieurs
vulnérabilités critiques présentes dans Microsoft Internet Explorer et
identifiées depuis plusieurs semaines (dont la faille "URL Spoof") :
Le dispositif de redirection utilisant le manipulateur "mhtml:" peut
être exploité afin de contourner la sécurité d'Internet Explorer, qui
normalement interdit aux pages situées en zone "internet" de charger des
pages locales. Ce dispositif de redirection peut aussi être exploitée
afin de placer puis exécuter un fichier malicieux sur un système
vulnérable (le script sera exécuté dans la zone "MyComputer").
Une vulnérabilité de type Cross Site Scripting peut être exploitée afin
d'exécuter un script dans une zone de sécurité liée à un autre page Web
si cette dernière contient une subframe.
Une variante d'une vulnérabilité fixée peut être exploitée afin de
détourner les déclics d'un utilisateur et effectuer certaines actions à
son insu.
Une erreur dans le dispositif de téléchargement peut être exploitée afin
d'accéder au répertoire cache d'un utilisateur en utilisant une page HTM
dont le header "Content-Type:" est invalide.
Une vulnérabilité de type "URL Spoofing", qui résulte d'une erreur dans
la vérification des entrées. Elle pourrait être exploitée par un
attaquant afin de cacher la vrai URL d'une fausse page en incluant les
caractères "0x01" "0x00" avant le caractère @. (Ce patch supprimera
définitivement la possibilité d'authentification via une URL du type
http(s)://user:pass@server/page.ext)
Update : Il est possible de réactiver l'option d'identification via des
adresses du type http(s)://user:pass@server/page.ext en modifiant le
registre Windows :
Aller dans : HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
(si ces clés n'existent pas, il faudra les créer)
Créer une valeur DWORD intitulée : iexplore.exe (pour autoriser Internet
Explorer)
Créer une valeur DWORD intitulée : explorer.exe (pour autoriser Windows
Explorer)
Créer une valeur DWORD intitulée : nom_du_program.exe (pour autoriser
n'importe quel programme utilisant ce type d'identification)
Mettre les valeurs de ces clés à 0
Reboot
--
@++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company
problème du spoofing
Microsoft vient de publier un patch cumulatif fixant plusieurs
vulnérabilités critiques présentes dans Microsoft Internet Explorer et
identifiées depuis plusieurs semaines (dont la faille "URL Spoof") :
Le dispositif de redirection utilisant le manipulateur "mhtml:" peut
être exploité afin de contourner la sécurité d'Internet Explorer, qui
normalement interdit aux pages situées en zone "internet" de charger des
pages locales. Ce dispositif de redirection peut aussi être exploitée
afin de placer puis exécuter un fichier malicieux sur un système
vulnérable (le script sera exécuté dans la zone "MyComputer").
Une vulnérabilité de type Cross Site Scripting peut être exploitée afin
d'exécuter un script dans une zone de sécurité liée à un autre page Web
si cette dernière contient une subframe.
Une variante d'une vulnérabilité fixée peut être exploitée afin de
détourner les déclics d'un utilisateur et effectuer certaines actions à
son insu.
Une erreur dans le dispositif de téléchargement peut être exploitée afin
d'accéder au répertoire cache d'un utilisateur en utilisant une page HTM
dont le header "Content-Type:" est invalide.
Une vulnérabilité de type "URL Spoofing", qui résulte d'une erreur dans
la vérification des entrées. Elle pourrait être exploitée par un
attaquant afin de cacher la vrai URL d'une fausse page en incluant les
caractères "0x01" "0x00" avant le caractère @. (Ce patch supprimera
définitivement la possibilité d'authentification via une URL du type
http(s)://user:pass@server/page.ext)
Update : Il est possible de réactiver l'option d'identification via des
adresses du type http(s)://user:pass@server/page.ext en modifiant le
registre Windows :
Aller dans : HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
(si ces clés n'existent pas, il faudra les créer)
Créer une valeur DWORD intitulée : iexplore.exe (pour autoriser Internet
Explorer)
Créer une valeur DWORD intitulée : explorer.exe (pour autoriser Windows
Explorer)
Créer une valeur DWORD intitulée : nom_du_program.exe (pour autoriser
n'importe quel programme utilisant ce type d'identification)
Mettre les valeurs de ces clés à 0
Reboot
--
@++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company
Poser une question
J'ai viens de lire ton message, j'avoue que c'est un peu du chinois pour
un pauvre béotien comme moi, mais je te fais confiance, j'ai créé les clefs,
et j'ai découvert que spoofing se traduit par mystification.
Pourrais tu être un peu plus simple afin que nous comprenions mieux....
Merci, amicalement. Claude
"Jceel"
Dans le/In the *NEWS* #
En résumé ici:
http://www.secuser.com/communiques/...atchie.htm
RESUME :
Un nouveau correctif cumulatif est disponible pour les navigateurs Internet
Explorer 5.01, 5.5 et 6.0. En plus des vulnérabilités déjà connues, ce patch
corrige trois nouvelles failles critiques qui permettent à une personne
malveillante ou à un virus d'exécuter le code de son choix sur l'ordinateur
de sa victime via une page web ou un message HTML piégé, ou encore de
rediriger à son insu l'internaute vers un site différent de l'adresse web
cliquée.
le Claude
En clair, tu viens d'annuler un des avantages du correctif empêchant le
phishing ! Pourquoi ?
Un utilisateur malveillant peut par exemple t'envoyer un message en html
avec une adresse www.domaine.org qui lorsque tu cliqueras dessus
inidquera bien cette adresse mais tu te trouvera sur www.bidon.org
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK
Merci Jack et Artic d'avoir "traduit" en termes compréhensibles pour les
ignares dont je fais partie la bonne recommandation de JCeel. C'est bien ce
que j'avais compris d'ailleurs, mais j'ai lu le message à 23 h et alors....!
Encore une question le phishing, qu'es acò ? c'est pas sur mon dico
d'english.
Encore merci aux MVP.
Amicalement, Claude.
"JacK [MVP]"
le Claude
Hello,
L'explication est juste au-dessus, dans le message que tu quotes ;)
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK