Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Juillet et les navigateurs vulnérables

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Juillet et les navigateurs vulnérables

Un point sur l’actualité sécurité estivale, avec un focus particulier sur les vulnérabilités des navigateurs. Internet Explorer, Firefox, Chrome et les autres : les butineurs sont à la fête cet été.

Au coeur de la torpeur estivale, personne n’entend les navigateurs crier. Et pourtant, ils sont bien malmenés en ce mois de juillet. Firefox, d’abord, qui non content de se semer le doute avec deux annonces de failles quasi-simultanées (un vrai zero-day et une ancienne vulnérabilité Flash), remet ça avec un vrai-faux souci qui n’en serait, finalement, pas un . La solitude du veilleur d’été…

Internet Explorer, en revanche, serait lui bel et bien troué, enfin, pas vraiment lui, mais presque. C’est décidément l’été de l’indécision !

Explication : une vulnérabilité dans le contrôle ActiveX Spreadsheet de la librairie Office Web Components serait exploitable à distance via le navigateur, à la visite d’une page piégée. On notera la subtile distinction faite par Microsoft à l’occasion d’une interview : « Internet Explorer n’est pas vulnérable mais le système peut effectivement être compromis à distance en utilisant IE ». Et ce n’est pas faux : le souci vient en réalité d’Office (avant la version 2007). Pas d’Office, pas de souci. Sinon, attention où vous surfez. A défaut d’un correctif, Microsoft propose pour l’instant de désactiver le composant concerné (automatiquement en visitant une page dédiée depuis le navigateur).

Peut-être pour ne pas être en reste, Google Chrome se voit corrigé de deux vulnérabilités, dont l’une critique. Mais après tout, on le lui pardonne car il s’agit encore d’une bêta. Et personne chez vous n’utilise de navigateur en bêta. Non ?

Enfin, une dernière vulnérabilité vient mettre tout le monde d’accord : le décidément très prolifique Thierry Zoller publie une découverte sur ECMAScript, le standard du scripting sur le web (JavaScript, ActionScript et JScript par exemple). Il ne s’agit certes que d’un déni de service, mais on peut sans crainte lui concéder le titre de DoS universel dans le domaine (« IE5,IE6,IE7,IE8,Netscape,Firefox,Safari,Opera,Konqueror,

Seamonkey,Wii,PS3,iPhone,iPod,Nokia,Siemens…. and more », annonce Zoller).


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.