Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Applications Applications Internet Explorer pour ceux qui ont téléchargé le patch 832894

pour ceux qui ont téléchargé le patch 832894

18 réponses
Avatar
Jceel
sans lire à quoi ça sert et remédier à leur risques et périls au
problème du spoofing



Microsoft vient de publier un patch cumulatif fixant plusieurs
vulnérabilités critiques présentes dans Microsoft Internet Explorer et
identifiées depuis plusieurs semaines (dont la faille "URL Spoof") :

Le dispositif de redirection utilisant le manipulateur "mhtml:" peut
être exploité afin de contourner la sécurité d'Internet Explorer, qui
normalement interdit aux pages situées en zone "internet" de charger des
pages locales. Ce dispositif de redirection peut aussi être exploitée
afin de placer puis exécuter un fichier malicieux sur un système
vulnérable (le script sera exécuté dans la zone "MyComputer").

Une vulnérabilité de type Cross Site Scripting peut être exploitée afin
d'exécuter un script dans une zone de sécurité liée à un autre page Web
si cette dernière contient une subframe.

Une variante d'une vulnérabilité fixée peut être exploitée afin de
détourner les déclics d'un utilisateur et effectuer certaines actions à
son insu.

Une erreur dans le dispositif de téléchargement peut être exploitée afin
d'accéder au répertoire cache d'un utilisateur en utilisant une page HTM
dont le header "Content-Type:" est invalide.

Une vulnérabilité de type "URL Spoofing", qui résulte d'une erreur dans
la vérification des entrées. Elle pourrait être exploitée par un
attaquant afin de cacher la vrai URL d'une fausse page en incluant les
caractères "0x01" "0x00" avant le caractère @. (Ce patch supprimera
définitivement la possibilité d'authentification via une URL du type
http(s)://user:pass@server/page.ext)


Update : Il est possible de réactiver l'option d'identification via des
adresses du type http(s)://user:pass@server/page.ext en modifiant le
registre Windows :

Aller dans : HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
(si ces clés n'existent pas, il faudra les créer)

Créer une valeur DWORD intitulée : iexplore.exe (pour autoriser Internet
Explorer)
Créer une valeur DWORD intitulée : explorer.exe (pour autoriser Windows
Explorer)
Créer une valeur DWORD intitulée : nom_du_program.exe (pour autoriser
n'importe quel programme utilisant ce type d'identification)

Mettre les valeurs de ces clés à 0
Reboot



--
@++++Jceel - MVP Win, I E, Media Player

En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company
Signaler un problème avec ce contenu

8 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2
Avatar
technicland
Jceel nous a dit :
sans lire à quoi ça sert et remédier à leur risques et périls au
problème du spoofing



Microsoft vient de publier un patch cumulatif fixant plusieurs
vulnérabilités critiques présentes dans Microsoft Internet Explorer et
identifiées depuis plusieurs semaines (dont la faille "URL Spoof") :

Le dispositif de redirection utilisant le manipulateur "mhtml:" peut
être exploité afin de contourner la sécurité d'Internet Explorer, qui
normalement interdit aux pages situées en zone "internet" de charger
des pages locales. Ce dispositif de redirection peut aussi être
exploitée afin de placer puis exécuter un fichier malicieux sur un
système vulnérable (le script sera exécuté dans la zone "MyComputer").

Une vulnérabilité de type Cross Site Scripting peut être exploitée
afin d'exécuter un script dans une zone de sécurité liée à un autre
page Web si cette dernière contient une subframe.

Une variante d'une vulnérabilité fixée peut être exploitée afin de
détourner les déclics d'un utilisateur et effectuer certaines actions
à son insu.

Une erreur dans le dispositif de téléchargement peut être exploitée
afin d'accéder au répertoire cache d'un utilisateur en utilisant une
page HTM dont le header "Content-Type:" est invalide.

Une vulnérabilité de type "URL Spoofing", qui résulte d'une erreur
dans la vérification des entrées. Elle pourrait être exploitée par un
attaquant afin de cacher la vrai URL d'une fausse page en incluant les
caractères "0x01" "0x00" avant le caractère @. (Ce patch supprimera
définitivement la possibilité d'authentification via une URL du type
http(s)://user:/page.ext)


Update : Il est possible de réactiver l'option d'identification via
des adresses du type http(s)://user:/page.ext en modifiant
le registre Windows :

Aller dans : HKEY_LOCAL_MACHINESoftwareMicrosoftInternet
ExplorerMainFeatureControlFEATURE_HTTP_USERNAME_PASSWORD_DISABLE
(si ces clés n'existent pas, il faudra les créer)

Créer une valeur DWORD intitulée : iexplore.exe (pour autoriser
Internet Explorer)
Créer une valeur DWORD intitulée : explorer.exe (pour autoriser
Windows Explorer)
Créer une valeur DWORD intitulée : nom_du_program.exe (pour autoriser
n'importe quel programme utilisant ce type d'identification)

Mettre les valeurs de ces clés à 0
Reboot



Salut
j ai fait un outil pour gerer ca je le placerai bientot sur le site des que
j aurais validés les tests 100% ;-)
Laurent
Avatar
technicland
Jceel nous a dit :
sans lire à quoi ça sert et remédier à leur risques et périls au
problème du spoofing



Microsoft vient de publier un patch cumulatif fixant plusieurs
vulnérabilités critiques présentes dans Microsoft Internet Explorer et
identifiées depuis plusieurs semaines (dont la faille "URL Spoof") :

Le dispositif de redirection utilisant le manipulateur "mhtml:" peut
être exploité afin de contourner la sécurité d'Internet Explorer, qui
normalement interdit aux pages situées en zone "internet" de charger
des pages locales. Ce dispositif de redirection peut aussi être
exploitée afin de placer puis exécuter un fichier malicieux sur un
système vulnérable (le script sera exécuté dans la zone "MyComputer").

Une vulnérabilité de type Cross Site Scripting peut être exploitée
afin d'exécuter un script dans une zone de sécurité liée à un autre
page Web si cette dernière contient une subframe.

Une variante d'une vulnérabilité fixée peut être exploitée afin de
détourner les déclics d'un utilisateur et effectuer certaines actions
à son insu.

Une erreur dans le dispositif de téléchargement peut être exploitée
afin d'accéder au répertoire cache d'un utilisateur en utilisant une
page HTM dont le header "Content-Type:" est invalide.

Une vulnérabilité de type "URL Spoofing", qui résulte d'une erreur
dans la vérification des entrées. Elle pourrait être exploitée par un
attaquant afin de cacher la vrai URL d'une fausse page en incluant les
caractères "0x01" "0x00" avant le caractère @. (Ce patch supprimera
définitivement la possibilité d'authentification via une URL du type
http(s)://user:/page.ext)


Update : Il est possible de réactiver l'option d'identification via
des adresses du type http(s)://user:/page.ext en modifiant
le registre Windows :

Aller dans : HKEY_LOCAL_MACHINESoftwareMicrosoftInternet
ExplorerMainFeatureControlFEATURE_HTTP_USERNAME_PASSWORD_DISABLE
(si ces clés n'existent pas, il faudra les créer)

Créer une valeur DWORD intitulée : iexplore.exe (pour autoriser
Internet Explorer)
Créer une valeur DWORD intitulée : explorer.exe (pour autoriser
Windows Explorer)
Créer une valeur DWORD intitulée : nom_du_program.exe (pour autoriser
n'importe quel programme utilisant ce type d'identification)

Mettre les valeurs de ces clés à 0
Reboot



Bonjour,
pour ceux que ca interresse j ai fait un outil qui gere ca dispo ici =>
http://www.technicland.com/article.php3?sid4

--
Laurent [MVP IE www.technicland.com]
FAQ IE : http://faq.ie6.free.fr
Avatar
neophil
Salut à technicland qui tapotait avec ses petits doigts musclés :

Jceel nous a dit :
sans lire à quoi ça sert et remédier à leur risques et périls au
problème du spoofing



Microsoft vient de publier un patch cumulatif fixant plusieurs
vulnérabilités critiques présentes dans Microsoft Internet Explorer
et identifiées depuis plusieurs semaines (dont la faille "URL
Spoof") :

Le dispositif de redirection utilisant le manipulateur "mhtml:" peut
être exploité afin de contourner la sécurité d'Internet Explorer, qui
normalement interdit aux pages situées en zone "internet" de charger
des pages locales. Ce dispositif de redirection peut aussi être
exploitée afin de placer puis exécuter un fichier malicieux sur un
système vulnérable (le script sera exécuté dans la zone
"MyComputer").

Une vulnérabilité de type Cross Site Scripting peut être exploitée
afin d'exécuter un script dans une zone de sécurité liée à un autre
page Web si cette dernière contient une subframe.

Une variante d'une vulnérabilité fixée peut être exploitée afin de
détourner les déclics d'un utilisateur et effectuer certaines actions
à son insu.

Une erreur dans le dispositif de téléchargement peut être exploitée
afin d'accéder au répertoire cache d'un utilisateur en utilisant une
page HTM dont le header "Content-Type:" est invalide.

Une vulnérabilité de type "URL Spoofing", qui résulte d'une erreur
dans la vérification des entrées. Elle pourrait être exploitée par un
attaquant afin de cacher la vrai URL d'une fausse page en incluant
les caractères "0x01" "0x00" avant le caractère @. (Ce patch
supprimera définitivement la possibilité d'authentification via une
URL du type http(s)://user:/page.ext)


Update : Il est possible de réactiver l'option d'identification via
des adresses du type http(s)://user:/page.ext en modifiant
le registre Windows :

Aller dans : HKEY_LOCAL_MACHINESoftwareMicrosoftInternet
ExplorerMainFeatureControlFEATURE_HTTP_USERNAME_PASSWORD_DISABLE
(si ces clés n'existent pas, il faudra les créer)

Créer une valeur DWORD intitulée : iexplore.exe (pour autoriser
Internet Explorer)
Créer une valeur DWORD intitulée : explorer.exe (pour autoriser
Windows Explorer)
Créer une valeur DWORD intitulée : nom_du_program.exe (pour autoriser
n'importe quel programme utilisant ce type d'identification)

Mettre les valeurs de ces clés à 0
Reboot



Bonjour,
pour ceux que ca interresse j ai fait un outil qui gere ca dispo ici
=> http://www.technicland.com/article.php3?sid4



Félicitations pour ce petit truc super pratique ;-)

--
neophil
[enlever ~X007 pour répondre]
Avatar
Jceel
Bonjour ...technicland qui nous as a dit
* Bonjour,
* pour ceux que ca interresse j ai fait un outil qui gere ca dispo
ici =>
* http://www.technicland.com/article.php3?sid4



OK Laurent


--
@++++Jceel - MVP Win, I E, Media Player

En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company
Avatar
Sniper
technicland a gentiment tapoté de ses petits doigts musclés :

Bonjour,
pour ceux que ca interresse j ai fait un outil qui gere ca dispo ici =>
http://www.technicland.com/article.php3?sid4



Laulau, tu as oublié un 4 dans le titre ;-)
*832894* et pas 83289
Cela dit, c'est du beau boulot, comme d'hab' :-)

--
Sniper

La première traite du matin, c'est la première traite du matin.
Lou Pérac
Avatar
technicland
Sniper nous a dit :
technicland a gentiment tapoté de ses petits doigts musclés :

Bonjour,
pour ceux que ca interresse j ai fait un outil qui gere ca dispo ici
=> http://www.technicland.com/article.php3?sid4



Laulau, tu as oublié un 4 dans le titre ;-)



Salut Dar,
c'est corrige ma BDD limite le nombre de caractere du titre c'est corrigé ,
thanks


--
Laurent [MVP IE www.technicland.com]
Co auteur de Internet + de 1000 trucs de pros chez Micro Application
<http://www.technicland.com/infolivre.php3>
Avatar
serri_amir
il ne faut pas oublier de citer la source Mr ;-)

http://www.k-otik.net/bugtraq/02.03.MS04-004.php

bye


"Jceel" <Mé wrote in message news:...
sans lire à quoi ça sert et remédier à leur risques et périls au
problème du spoofing



Microsoft vient de publier un patch cumulatif fixant plusieurs
vulnérabilités critiques présentes dans Microsoft Internet Explorer et
identifiées depuis plusieurs semaines (dont la faille "URL Spoof") :

Le dispositif de redirection utilisant le manipulateur "mhtml:" peut
être exploité afin de contourner la sécurité d'Internet Explorer, qui
normalement interdit aux pages situées en zone "internet" de charger des
pages locales. Ce dispositif de redirection peut aussi être exploitée
afin de placer puis exécuter un fichier malicieux sur un système
vulnérable (le script sera exécuté dans la zone "MyComputer").

Une vulnérabilité de type Cross Site Scripting peut être exploitée afin
d'exécuter un script dans une zone de sécurité liée à un autre page Web
si cette dernière contient une subframe.

Une variante d'une vulnérabilité fixée peut être exploitée afin de
détourner les déclics d'un utilisateur et effectuer certaines actions à
son insu.

Une erreur dans le dispositif de téléchargement peut être exploitée afin
d'accéder au répertoire cache d'un utilisateur en utilisant une page HTM
dont le header "Content-Type:" est invalide.

Une vulnérabilité de type "URL Spoofing", qui résulte d'une erreur dans
la vérification des entrées. Elle pourrait être exploitée par un
attaquant afin de cacher la vrai URL d'une fausse page en incluant les
caractères "0x01" "0x00" avant le caractère @. (Ce patch supprimera
définitivement la possibilité d'authentification via une URL du type
http(s)://user:/page.ext)


Update : Il est possible de réactiver l'option d'identification via des
adresses du type http(s)://user:/page.ext en modifiant le
registre Windows :

Aller dans : HKEY_LOCAL_MACHINESoftwareMicrosoftInternet
ExplorerMainFeatureControlFEATURE_HTTP_USERNAME_PASSWORD_DISABLE
(si ces clés n'existent pas, il faudra les créer)

Créer une valeur DWORD intitulée : iexplore.exe (pour autoriser Internet
Explorer)
Créer une valeur DWORD intitulée : explorer.exe (pour autoriser Windows
Explorer)
Créer une valeur DWORD intitulée : nom_du_program.exe (pour autoriser
n'importe quel programme utilisant ce type d'identification)

Mettre les valeurs de ces clés à 0
Reboot



--
@++++Jceel - MVP Win, I E, Media Player

En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company


Avatar
technicland
BiggeR nous a dit :
il ne faut pas oublier de citer la source Mr ;-)



Bonjour
comme d'hab la veritable source c'est la KB =>
http://www.support.microsoft.com/default.aspx?scid=kb;fr;834489

PS: dans la fiche de mon outil c'est mentionne

--
Laurent [MVP IE www.technicland.com]
FAQ IE : http://faq.ie6.free.fr
Power IE6 : http://www.technicland.com/powerie6.php3
Co auteur de Internet 1000 trucs de Pros :
http://www.technicland.com/infolivre.php3
1 2