Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Internet Explorer : quatre nouvelles failles graves

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Internet Explorer : quatre nouvelles failles graves

Quatre nouvelles vulnérabilités viennent d’être découvertes dans Internet Explorer. Elles permettraient notamment à un site web malicieux d’exécuter des programmes sur le PC de la victime ou de modifier l’affichage des fenêtres d’alertes du navigateur. Aucun correctif n’est encore disponible.


La série noire continue pour Internet Explorer. Quatre nouvelles failles particulièrement sérieuses viennent d’être identifiées au sein du navigateur de Microsoft. Et elles n’ont aucun correctif pour l’instant.La première d’entre elles est plutôt originale : elle permettrait à une page web de remplacer une fonction d’un script par une autre, dans un autre script, nommée à l’identique. Cela autorise un site web malicieux à faire exécuter du code de son choix en faisant croire qu’il vient du site de confiance. Cela rendrait par exemple les attaques de cross-site scripting plus efficaces et c’est tout à fait invisible pour l’internaute.La seconde vulnérabilité permet à un attaquant d’inclure du code exécutable dans les « Chaînes » de favoris lisibles par Internet Explorer. Ce code sera alors exécuté dans le contexte de sécurité de la zone locale, ce qui est particulièrement grave car cette zone est celle qui laisse le plus de liberté aux codes exécutables.La troisième faille permet, elle, de faire faire au navigateur des opérations de copier-coller et des clics sur des ressources (liens, etc…) à l’insu de l’utilisateur. Associée à l’une des deux failles précédentes, celle-ci permettrait une fois encore de faire exécuter n’importe quoi au navigateur.A la vue des trois vulnérabilités précédentes, la dernière pourrait presque sembler anecdotique, mais il n’en est rien. Elle donnerait le moyen à un site web malicieux de recouvrir avec le contenu de son choix les bannières publicitaires qui s’affichent en pop-up ou les boîtes de dialogue. S’il ne s’agit que d’une gêne mineure dans le premier cas, le second permettrait en revanche de « cacher » les avertissements que donnent les boîtes de dialogue avant le téléchargement des fichiers exécutables. Et ainsi de faire accepter des contenus dangereux à l’insu de l’internaute…Toutes ces failles sont extrêmement préoccupantes. La société Secunia, qui en publie une alerte détaillée, les considère d’ailleurs comme « extrêmement critiques », son plus haut niveau d’alerte. Et cette série arrive après la découverte récente d’autres vulnerabilités sérieuses qui déjà avaient conduit de nombreux spécialistes -dont un cabinet d’étude- à déconseiller l’utilisation d’Internet Explorer.Cette série là, tout aussi grave, ne fait que confirmer la chose : peu fiable depuis sa création, Internet Explorer semble avoir atteint aujourd’hui les limites de la confiance que l’on peut lui accorder. Du moins tant que Microsoft n’en proposera pas une nouvelle version entièrement réécrite et conçue pour préférer la sécurité à la forme (ce qui pourrait être le cas avec la prochaine version de Windows).En attendant un tel messie, il est vivement conseillé de changer de navigateur pour une alternative plus fiable tel Opera ou l’excellent (et gratuit !) Firefox.Certes, ces autres navigateurs ne sont pas exempts de failles eux non plus. Mais ces dernières sont largement moins nombreuses, moins régulières et surtout moins critiques que celles qui entâchent Internet Explorer depuis sa conception.Il n’y aucun correctif disponible pour cette série de failles. Pour ceux qui se refusent à changer de navigateur, la seule solution consiste alors à désactiver le fameux « Active Scripting » dans les options de sécurité personnalisées du navigateur. Mais alors de nombreux sites web ne fonctionneront plus comme ils le doivent.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.