Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

De la sagesse d’éviter Internet Explorer

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur De la sagesse d’éviter Internet Explorer

Belle frayeur en perspective pour les internautes qui s’obstineraient à vouloir utiliser le navigateur de Microsoft. La société Online Solutions propose sur son site une démonstration d’attaque fulgurante, qui télécharge et exécute un programme sans que l’utilisateur ne puisse réagir. Une piqûre de rappel pour qui pense que les attaques sont rares et complexes.


Les internautes avisés ont depuis longtemps abandonné le navigateur Internet Explorer de Microsoft, au profit d’alternatives plus fiables. Pour les autres, la société Online Solutions propose sur son site une démonstration d’attaque ébouriffante, véritable Plug and Play viral : cliquez sur un lien, et Internet Explorer télécharge puis exécute n’importe quel programme. Ici, il s’agit simplement d’un programme DOS de démonstration, donc inoffensif. Mais la faille est si simple à mettre en oeuvre que n’importe qui peut l’utiliser pour délivrer des virus et autres chevaux de Troie à la chaîne et, surtout, de façon entièrement invisible pour l’utilisateur.La démonstration est superbe, très loin du côté abstrait des alertes habituelles. Il suffit d’aller consulter la page de démonstration et de cliquer sur le lien « piégé » . Il s’agit en l’occurrence ici d’un exécutable maquillé en un simple fichier texte. N’importe quel autre navigateur ne se laissera pas abuser et proposera de télécharger le fichier ou de l’exécuter. Internet Explorer, lui, l’exécutera automatiquement dès le lien cliqué. Nous avons testé la faille avec les versions 5 et 6 du navigateur, cette dernière étant livrée avec notre Windows XP acheté récemment. Toutes deux sont vulnérables, et seule l’application d’un correctif peut éviter l’infection.Les autres navigateurs ne sont pas concernés par cette faille, ce qui nous amène à réitérer notre recommandation concernant le remplacement d’Internet Explorer par une solution alternative. Dans ce domaine, Opera demeure notre préférence.Une faille connue depuis le mois de novembre dernier.La faille exploitée par cette démonstration a été découverte par Online Solutions en fin d’année dernière. La société avait alors été vivement critiquée par Microsoft pour l’avoir rendue publique, alors que prévenu depuis deux mois, l’éditeur n’avait semble-t-il rien fait pour la corriger, allant jusqu’à affirmer qu’il ne s’agissait pas d’un problème de sécurité.Vous pouvez lire à ce sujet notre brève du 17 décembre : Un correctif global pour Internet Explorer et un mea culpa pour Microsoft.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.