Internet Explorer 7 : troisième vulnérabilité

Le par Jérôme G.  |  21 commentaire(s)
Secunia

Une véritable histoire passionnelle est en train de naître sous nos yeux, celle dont les protagonistes sont la société danoise spécialisée dans la sécurité informatique Secunia et l'un des produits phares de la firme de Redmond, Internet Explorer dans sa mouture estampillée 7.

Une véritable histoire passionnelle est en train de naître sous nos yeux, celle dont les protagonistes sont la société danoise spécialisée dans la sécurité informatique Secunia et l'un des produits phares de la firme de Redmond, Internet Explorer dans sa mouture estampillée 7. Ainsi, Secunia maintient son rythme de croisière et vient de publier en l'espace de 11 jours très exactement, son troisième bulletin de sécurité incriminant une faille présente dans IE7 (XP SP2).

Néanmoins, quelques innovations, ce bulletin a été mis en ligne un lundi et non un mercredi comme les précédents, mais bien moins anecdotique, la dangerosité de la vulnérabilité ici dénoncée est montée d'un cran puisqu’elle est qualifiée de modérément critique (niveau 3 sur une échelle de 5) alors que les autres étaient considérées comme peu critiques (niveau 2).


Spoofing comme dans la deuxième faille
Preuve de concept à l'appui, Secunia révèle donc la présence d'une vulnérabilité dans IE7 qui pourrait être exploitée par une personne mal intentionnée afin de " spoofer " le contenu de sites Web dans le but d'induire en erreur un internaute et de lui soutirer des informations personnelles.

Plus précisément, si l'internaute navigue sur un site malicieux et que parallèlement, il ouvre un autre site, de confiance celui-ci, tel le site d'un organisme bancaire susceptible d'ouvrir une fenêtre sous forme de pop-up, du contenu pourrait être injecté dans cette fenêtre pop-up afin d'inciter l'utilisateur à entrer des données sensibles qui seraient en réalité recueillie par un pirate.

En attendant un correctif, Secunia fait remarquer qu'en 2004 une vulnérabilité similaire avait  déjà affecté plusieurs navigateurs dont IE6 avant que Microsoft ne prodigue un soin palliatif et Secunia de conseiller pour l'heure aux utilisateurs de IE7 de n'ouvrir qu'une seule fenêtre lorsqu'ils sont sur un site où ils doivent communiquer des informations personnelles.


Réactions attendues et critiques d'ores et déjà émises
Comme à l'accoutumée, reste à attendre la réaction de Microsoft qui ne saurait tarder, mais pour le leader mondial du logiciel, si cette vulnérabilité est bel et bien avérée, le compteur montera à deux pour le nombre de failles concernant IE7 puisque qu'il n'a pas reconnu l'existence de la première découverte par Secunia prétextant que pour cette dernière son fureteur n'en était que le vecteur.

A noter également que déjà, sur des forums spécialisés, certains font remarquer que le test proposé par Secunia afin de vérifier la véracité de la faille publiée, fonctionne dans certaines circonstances (sous XP) avec IE6 mais également avec Firefox 1.5 voire 2.0 et dénoncent par là même la relative mauvaise foi de la société danoise qui dans son bulletin n'a parlé que de IE7.

  • Partager ce contenu :
Complément d'information

Vos commentaires Page 1 / 3

Trier par : date / pertinence
Ķåяζ offline Hors ligne Héroïque icone 850 points
Le #139395
Fixation ou pas suffit sur le site de secunia de prendre le listing des failles toutes années confondu pour IE6 et 7 et Firefox toutes version pour voir le nombre de failles non patché chez le fureteur de chez Redmond à coté de Mozilla FF
FraGag offline Hors ligne Héroïque avatar 737 points
Le #139397
Vous allez les compter jusqu'à combien '
paralax offline Hors ligne Vétéran icone 2444 points
Le #139398
j'aime pas le gruyère
panurge offline Hors ligne VIP avatar 8290 points
Le #139402
IE7 ressemble à l'emmental qu'au gruyère !
Cleaner1974 offline Hors ligne Vénéré avatar 2518 points
Le #139406
Rien à signaler avec Firefox 2.0 et une version du tronc d'hier (pré-3.0alpha1) sous Linux.

Windows uniquement cette "faille" '
guliver offline Hors ligne Héroïque avatar 695 points
Le #139408
Ah moi j'ai quelque chose à signaler sur firefox 2 sous linux. Tu as du cocher une option de trop
Cleaner1974 offline Hors ligne Vénéré avatar 2518 points
Le #139411
Peut-être car je ne garde que l'option "Disable or replace context menu" (désolé, j'ai la version anglaise sous la main) dans les réglages du JS

Qu'est-ce qui s'affiche '
SICKofitALL offline Hors ligne Héroïque avatar 885 points
Le #139416
décidement, "ils" lui en veulent à IE7
Cleaner1974 offline Hors ligne Vénéré avatar 2518 points
Le #139418
Ils ne font que répondre à MS qui joue tout - ou presque - sur la sécurité de cette version d'IE...
lowlow007 offline Hors ligne Héroïque icone 736 points
Le #139427
Firefox , powaaaaaa

je suis deja dehors
icone Suivre les commentaires
Poster un commentaire