Nouvelle vulnérabilité inquiétante dans Internet Explorer
11 réponses
Steve Balmer
Nouvelle vulnérabilité inquiétante dans Internet Explorer
http://www.vnunet.fr/actualite/securite/bogues_et_correctifs/20051122005
Une faille démontrée de l'ensemble des versions d'Internet Explorer 5 et
6 a été dévoilée aux pirates du monde entier.
C'est une nouvelle brèche qui a été découverte dans le navigateur
Internet Explorer de Microsoft. Revendiqué par le groupe anglais
Computer Terrorism, le « Zero Day Exploit » (technique qui consiste à
dévoiler et prouver une faille le même jour) qui démontre cette
vulnérabilité tient dans la fonction Javascript « onLoad ». Exploitée
d'une certaine manière dans une page d'un site Web, elle peut offrir une
totale prise de contrôle à distance du PC.
Emanant d'une ancienne vulnérabilité connue depuis le mois de mai 2005,
cette variante contourne la façon dont le problème avait été éludé à
l'époque et devient de ce fait beaucoup plus dangereuse. Microsoft a
confirmé dans son communiqué de sécurité 911302 que sont concernées par
ce problème toutes les versions de Windows, à l'exception de Windows
Server 2003 et Server 2003 SP1 dans leurs configurations d'origine.
Pas de correctif pour le moment
En attendant un correctif de la part de l'éditeur, la solution consiste
à désactiver le fonctionnement d'Active Scripting dans Internet Explorer
(menu Outils, Options Internet, onglet Sécurité, bouton Personnaliser le
niveau, section Script) ou à utiliser un autre navigateur Internet tel
que Firefox.
ici : http://www.computerterrorism.com/research/ie/bug.htm [!!!!!NE PAS CLIQUER !!!!!!]
J'ai cliqué, et je n'ai eu ni explosion ni effondrement, juste un curseur "occupé" jusqu'à ce que je ferme l'onglet de FF. C'était sensé faire quoi ?
Ooups j'ai dû essayer avec IE, et là c'est bien plus rigolo jscript.dll plante ;-) Mais je ne vois toujours pas comment peuvent-ils exploiter ce bug ^o)
Florian Sinatra a écrit :
Damien Hardy a écrit :
ici : http://www.computerterrorism.com/research/ie/bug.htm [!!!!!NE
PAS CLIQUER !!!!!!]
J'ai cliqué, et je n'ai eu ni explosion ni effondrement, juste un
curseur "occupé" jusqu'à ce que je ferme l'onglet de FF. C'était sensé
faire quoi ?
Ooups j'ai dû essayer avec IE, et là c'est bien plus rigolo jscript.dll
plante ;-)
Mais je ne vois toujours pas comment peuvent-ils exploiter ce bug ^o)
ici : http://www.computerterrorism.com/research/ie/bug.htm [!!!!!NE PAS CLIQUER !!!!!!]
J'ai cliqué, et je n'ai eu ni explosion ni effondrement, juste un curseur "occupé" jusqu'à ce que je ferme l'onglet de FF. C'était sensé faire quoi ?
Ooups j'ai dû essayer avec IE, et là c'est bien plus rigolo jscript.dll plante ;-) Mais je ne vois toujours pas comment peuvent-ils exploiter ce bug ^o)
