Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Internet Explorer : deux failles non corrigées font le bonheur des publicitaires

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Internet Explorer : deux failles non corrigées font le bonheur des publicitaires

Deux vulnérabilités d’Internet Explorer semblent être utilisées par des sites web commerciaux afin d’installer des outils publicitaires à l’insu des internautes. Aucun correctif n’est encore disponible, mais quelques astuces peuvent limiter les dégâts.


Si votre navigateur Internet Explorer s’est subitement mis à vous présenter plus de fenêtres pop-up publicitaires que d’ordinaire, peut-être venez-vous d’être victime des deux dernières failles à la mode chez les cow-boys de la publicité en ligne !Découvertes cette semaine par un chercheur indépendant et publiées sur une liste de discussion spécialisée, ces deux vulnérabilités seraient en réalité connues depuis bien plus longtemps par certaines sociétés de publicité sur Internet. Le chercheur à l’origine de la découverte a été ainsi prévenu par un correspondant victime de l’installation sauvage d’un logiciel publicitaire au cours d’une séance de surf. Personne ne sait depuis quand ces failles sont activement exploitées.L’attaque fonctionne grâce à l’exploitation successive de deux vulnérabilités : la première permet d’exécuter du code sur l’ordinateur de la victime et la seconde de faire en sorte que ce code s’exécute dans un cadre moins restrictif que la « zone Internet » d’Internet Explorer, justement prévue pour éviter ce type d’abus. Exploitées ensembles, ces failles sont à l’origine de la récente vague d’installations sauvages de la barre de recherche « I-Lookup ». Celle-ci est éditée par une société de marketing en ligne basée au Costa Rica et connue pour ses techniques plutôt agressives, même si rien ne prouve qu’elle soit à l’origine des installations frauduleuses.Une fois installée, la barre « I-Lookup » se permet de modifier la configuration du navigateur. Elle en change la page de démarrage, le dirige vers des sites publicitaires et affiche régulièrement des fenêtres pop-up, elles aussi publicitaires.Microsoft, prévenu en même temps que le reste du monde via une liste de diffusion, travaillerait déjà sur un correctif. Indice de l’ampleur de ces installations sauvages : le patch pourrait être diffusé dès qu’il est prêt, et donc sans respecter le cycle mensuel instauré par l’éditeur l’an dernier.En attendant le correctif salvateur, les adeptes d’Internet Explorer peuvent désactiver l’exécution des scripts pour tous les sites (une solution guère pratique), ou profiter de l’occasion pour essayer un autre navigateur !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.