Nouvelle vulnérabilité inquiétante dans Internet Explorer
11 réponses
Steve Balmer
Nouvelle vulnérabilité inquiétante dans Internet Explorer
http://www.vnunet.fr/actualite/securite/bogues_et_correctifs/20051122005
Une faille démontrée de l'ensemble des versions d'Internet Explorer 5 et
6 a été dévoilée aux pirates du monde entier.
C'est une nouvelle brèche qui a été découverte dans le navigateur
Internet Explorer de Microsoft. Revendiqué par le groupe anglais
Computer Terrorism, le « Zero Day Exploit » (technique qui consiste à
dévoiler et prouver une faille le même jour) qui démontre cette
vulnérabilité tient dans la fonction Javascript « onLoad ». Exploitée
d'une certaine manière dans une page d'un site Web, elle peut offrir une
totale prise de contrôle à distance du PC.
Emanant d'une ancienne vulnérabilité connue depuis le mois de mai 2005,
cette variante contourne la façon dont le problème avait été éludé à
l'époque et devient de ce fait beaucoup plus dangereuse. Microsoft a
confirmé dans son communiqué de sécurité 911302 que sont concernées par
ce problème toutes les versions de Windows, à l'exception de Windows
Server 2003 et Server 2003 SP1 dans leurs configurations d'origine.
Pas de correctif pour le moment
En attendant un correctif de la part de l'éditeur, la solution consiste
à désactiver le fonctionnement d'Active Scripting dans Internet Explorer
(menu Outils, Options Internet, onglet Sécurité, bouton Personnaliser le
niveau, section Script) ou à utiliser un autre navigateur Internet tel
que Firefox.
Nouvelle vulnérabilité inquiétante dans Internet Explorer
Une de plus, une de moins... on n'est plus à ça près.
MELMOTH
Ce cher mammifère du nom de Steve Balmer nous susurrait, le mardi 22/11/2005, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <43837b07$0$12971$, les doux mélismes suivants :
Une faille démontrée de l'ensemble des versions d'Internet Explorer 5 et 6 a été dévoilée aux pirates du monde entier.
Tout ceci va nous empêcher de dormir... Pour sûr...
-- Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1] Melmoth - souffrant
Ce cher mammifère du nom de Steve Balmer nous susurrait, le mardi
22/11/2005, dans nos oreilles grandes ouvertes mais un peu sales quand
même, et dans le message <43837b07$0$12971$626a14ce@news.free.fr>, les
doux mélismes suivants :
Une faille démontrée de l'ensemble des versions d'Internet Explorer 5 et
6 a été dévoilée aux pirates du monde entier.
Tout ceci va nous empêcher de dormir...
Pour sûr...
--
Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui
accroît sa science, accroît sa douleur.
[Ecclésiaste, 1]
Melmoth - souffrant
Ce cher mammifère du nom de Steve Balmer nous susurrait, le mardi 22/11/2005, dans nos oreilles grandes ouvertes mais un peu sales quand même, et dans le message <43837b07$0$12971$, les doux mélismes suivants :
Une faille démontrée de l'ensemble des versions d'Internet Explorer 5 et 6 a été dévoilée aux pirates du monde entier.
Tout ceci va nous empêcher de dormir... Pour sûr...
-- Car avec beaucoup de science, il y a beaucoup de chagrin; et celui qui accroît sa science, accroît sa douleur. [Ecclésiaste, 1] Melmoth - souffrant
Florian Sinatra
Je serais curieux de voir par quel code ils arrivent à faire ca quand même :P c'est pas pour moi c'et pour un ami :D
Je serais curieux de voir par quel code ils arrivent à faire ca quand
même :P c'est pas pour moi c'et pour un ami :D
En attendant un correctif de la part de l'éditeur, la solution consiste à désactiver le fonctionnement d'Active Scripting dans Internet Explorer (menu Outils, Options Internet, onglet Sécurité, bouton Personnaliser le niveau, section Script) ou à utiliser un autre navigateur Internet tel que Firefox.
Firefox et Opera aussi: http://xforce.iss.net/xforce/xfdb/20783
-- Jean-Max Reymond dernière éruption de l'Etna: http://jmreymond.free.fr/Etna2002
Steve Balmer a écrit :
En attendant un correctif de la part de l'éditeur, la solution consiste
à désactiver le fonctionnement d'Active Scripting dans Internet Explorer
(menu Outils, Options Internet, onglet Sécurité, bouton Personnaliser le
niveau, section Script) ou à utiliser un autre navigateur Internet tel
que Firefox.
Firefox et Opera aussi:
http://xforce.iss.net/xforce/xfdb/20783
--
Jean-Max Reymond
dernière éruption de l'Etna: http://jmreymond.free.fr/Etna2002
En attendant un correctif de la part de l'éditeur, la solution consiste à désactiver le fonctionnement d'Active Scripting dans Internet Explorer (menu Outils, Options Internet, onglet Sécurité, bouton Personnaliser le niveau, section Script) ou à utiliser un autre navigateur Internet tel que Firefox.
Firefox et Opera aussi: http://xforce.iss.net/xforce/xfdb/20783
-- Jean-Max Reymond dernière éruption de l'Etna: http://jmreymond.free.fr/Etna2002
Frederic Bezies
Le 11/23/05 12:24 PM, Jean-Max Reymond a écrit :
Steve Balmer a écrit :
En attendant un correctif de la part de l'éditeur, la solution consiste à désactiver le fonctionnement d'Active Scripting dans Internet Explorer (menu Outils, Options Internet, onglet Sécurité, bouton Personnaliser le niveau, section Script) ou à utiliser un autre navigateur Internet tel que Firefox.
Firefox et Opera aussi: http://xforce.iss.net/xforce/xfdb/20783
Tiens ? J'ai essayé le bout de code avec une version compilée maison d'hier, et je n'ai pas eu de plantage :
Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.9a1) Gecko/20051122 Firefox/1.6a1
Peut-être que le code de fx 1.5 et de celui du tronc sont insensibles à cette faille ?
-- Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/ Weblog : http://frederic.bezies.free.fr/blog/
Le 11/23/05 12:24 PM, Jean-Max Reymond a écrit :
Steve Balmer a écrit :
En attendant un correctif de la part de l'éditeur, la solution consiste
à désactiver le fonctionnement d'Active Scripting dans Internet Explorer
(menu Outils, Options Internet, onglet Sécurité, bouton Personnaliser le
niveau, section Script) ou à utiliser un autre navigateur Internet tel
que Firefox.
Firefox et Opera aussi:
http://xforce.iss.net/xforce/xfdb/20783
Tiens ? J'ai essayé le bout de code avec une version compilée maison
d'hier, et je n'ai pas eu de plantage :
Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.9a1)
Gecko/20051122 Firefox/1.6a1
Peut-être que le code de fx 1.5 et de celui du tronc sont insensibles à
cette faille ?
--
Frederic Bezies - fredbezies@gmail.com
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/
En attendant un correctif de la part de l'éditeur, la solution consiste à désactiver le fonctionnement d'Active Scripting dans Internet Explorer (menu Outils, Options Internet, onglet Sécurité, bouton Personnaliser le niveau, section Script) ou à utiliser un autre navigateur Internet tel que Firefox.
Firefox et Opera aussi: http://xforce.iss.net/xforce/xfdb/20783
Tiens ? J'ai essayé le bout de code avec une version compilée maison d'hier, et je n'ai pas eu de plantage :
Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.9a1) Gecko/20051122 Firefox/1.6a1
Peut-être que le code de fx 1.5 et de celui du tronc sont insensibles à cette faille ?
-- Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/ Weblog : http://frederic.bezies.free.fr/blog/
Damien Hardy
Frederic Bezies a écrit :
Le 11/23/05 12:24 PM, Jean-Max Reymond a écrit :
Steve Balmer a écrit :
En attendant un correctif de la part de l'éditeur, la solution consiste à désactiver le fonctionnement d'Active Scripting dans Internet Explorer (menu Outils, Options Internet, onglet Sécurité, bouton Personnaliser le niveau, section Script) ou à utiliser un autre navigateur Internet tel que Firefox.
Firefox et Opera aussi: http://xforce.iss.net/xforce/xfdb/20783
Tiens ? J'ai essayé le bout de code avec une version compilée maison d'hier, et je n'ai pas eu de plantage :
Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.9a1) Gecko/20051122 Firefox/1.6a1
Peut-être que le code de fx 1.5 et de celui du tronc sont insensibles à cette faille ?
Tu as p.e. une extention qui bloque le Javascript comme NoScript ? parce que firefox 1.5rc est lui aussi touché (freeze)
Dam
Frederic Bezies a écrit :
Le 11/23/05 12:24 PM, Jean-Max Reymond a écrit :
Steve Balmer a écrit :
En attendant un correctif de la part de l'éditeur, la solution consiste
à désactiver le fonctionnement d'Active Scripting dans Internet Explorer
(menu Outils, Options Internet, onglet Sécurité, bouton Personnaliser le
niveau, section Script) ou à utiliser un autre navigateur Internet tel
que Firefox.
Firefox et Opera aussi:
http://xforce.iss.net/xforce/xfdb/20783
Tiens ? J'ai essayé le bout de code avec une version compilée maison
d'hier, et je n'ai pas eu de plantage :
Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.9a1)
Gecko/20051122 Firefox/1.6a1
Peut-être que le code de fx 1.5 et de celui du tronc sont insensibles à
cette faille ?
Tu as p.e. une extention qui bloque le Javascript comme NoScript ? parce que firefox 1.5rc est lui aussi touché (freeze)
En attendant un correctif de la part de l'éditeur, la solution consiste à désactiver le fonctionnement d'Active Scripting dans Internet Explorer (menu Outils, Options Internet, onglet Sécurité, bouton Personnaliser le niveau, section Script) ou à utiliser un autre navigateur Internet tel que Firefox.
Firefox et Opera aussi: http://xforce.iss.net/xforce/xfdb/20783
Tiens ? J'ai essayé le bout de code avec une version compilée maison d'hier, et je n'ai pas eu de plantage :
Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.9a1) Gecko/20051122 Firefox/1.6a1
Peut-être que le code de fx 1.5 et de celui du tronc sont insensibles à cette faille ?
Tu as p.e. une extention qui bloque le Javascript comme NoScript ? parce que firefox 1.5rc est lui aussi touché (freeze)
Dam
Frederic Bezies
Le 11/23/05 7:01 PM, Damien Hardy a écrit :
Frederic Bezies a écrit :
Le 11/23/05 12:24 PM, Jean-Max Reymond a écrit :
[...]
Peut-être que le code de fx 1.5 et de celui du tronc sont insensibles à cette faille ?
Tu as p.e. une extention qui bloque le Javascript comme NoScript ? parce que firefox 1.5rc est lui aussi touché (freeze)
Quelle version rc ? En tout cas, j'ai aucune extension, et je pense que le tronc doit avoir un correctif déjà intégré.
Car la version que j'utilise est une pré-pré-[5 minutes plus tard]-pré version de ce qui sera firefox 3.0, d'ici juin 2007.
cf http://frederic.bezies.free.fr/blog/?pb
Dam
-- Frederic Bezies -
Site Perso : http://perso.wanadoo.fr/frederic.bezies/ Weblog : http://frederic.bezies.free.fr/blog/
Le 11/23/05 7:01 PM, Damien Hardy a écrit :
Frederic Bezies a écrit :
Le 11/23/05 12:24 PM, Jean-Max Reymond a écrit :
[...]
Peut-être que le code de fx 1.5 et de celui du tronc sont insensibles à
cette faille ?
Tu as p.e. une extention qui bloque le Javascript comme NoScript ? parce que firefox 1.5rc est lui aussi touché (freeze)
Quelle version rc ? En tout cas, j'ai aucune extension, et je pense que
le tronc doit avoir un correctif déjà intégré.
Car la version que j'utilise est une pré-pré-[5 minutes plus tard]-pré
version de ce qui sera firefox 3.0, d'ici juin 2007.
cf http://frederic.bezies.free.fr/blog/?pb
Dam
--
Frederic Bezies - fredbezies@gmail.com
Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://frederic.bezies.free.fr/blog/