La société de recherche en sécurité Secunia vient de découvrir deux vulnérabilités qui touchent tous les navigateurs, sauf Internet Explorer. En effet, ces failles ne fonctionnent que sur les butineurs qui supportent le système de navigation par onglet. Or Internet Explorer (brut, sans aucun "add-on" ) n’en est pas doté.

Les navigateurs concernés par la première faille sont les suivants : Mozilla / Mozilla Firefox, Opera, Netscape, Safari, Konqueror et Internet Explorer si il est accompagné des surcouches Avant Browser ou Maxthon. La seconde ne concerne que Mozilla / Mozilla Firefox, Netscape, Avant Browser et Maxthon.

Testez la première faille
Testez la seconde faille

La première faille permet de lancer une boîte de dialogue quand un utilisateur clique sur un lien hypertexte. Il lui est alors impossible de savoir si cette fenêtre provient du site qu’il vient d’ouvrir ou du site qui lui a fournit le lien. Ce procédé peut être utilisé pour vous soutirer des informations personnelles. Exemple : vous surfez sur un site qui propose un lien vers Yahoo.fr. Une fois le lien vers Yahoo ouvert, une fenêtre vous demande de vous identifier, sans réfléchir sur l’origine de cette dernière vous entrez votre login et mot de passe, puis validez. Trop tard pour faire machine arrière, les informations seront directement récoltées par l’utilisateur malhonnête.

Quant à la seconde, elle permet à un onglet inactif (contenant le site malicieux qui exploitera la faille), de prendre le dessus sur un autre onglet (un site normal). Prenons un exemple similaire : vous surfez sur un site qui propose un lien vers Yahoo.fr, vous ouvrez Yahoo dans un nouvel onglet et commencez à entrer votre login et mot de passe dans les cases Yahoo. Vous ne verrez rien apparaître dans ces cases ! Toutes les informations entrées seront directement récoltées par le site web référant.

Source : Secunia.com

Et bien ! Pour une fois qu'Internet Explorer n'est pas touché !!!! C'est à marqué d'une pierre blanche ! lol :-D

Comme toujours j'anticipe, pas de trolling SVP, je vois déjà venir les posts du type : Internet Explorer ca pue, mozilla c'est beaucoup mieux, ou le contraire, IE n'est pas affecté par ces failles mais les autres le sont...

l'exception qui confirme la règle ?

des fois ca a du bon de pas proposer un système hyper pratique comme les onglets....

Haha antipika!!!trop tard on dirait :-P

:-P

Pour une fois que c'est pas linverse aut en profiter !

Existe il des correctifs pour ces failles ???

comment corriger cette faille, je ne comprends pas?

Aucun correctif pour le moment :x

Si, il y a une solution pour chacun des navigateurs cités, faut lire...

Solution:
Don't visit trusted web sites while visiting untrusted web sites or disable JavaScript



Pour Avant Browser, c'est simple: Outils -> Bloquer les applets Java (et Bloquer les contrôles ActiveX pendant qu'on y est, même si ça ne concerne pas cette faille). Et vous aurez alors la fenêtre suivante : "Invite de script Java..."


C'est un simple script java malicieux, je vois pas pourquoi Secunia en fait tout un plat, c'est connu depuis longtemps ce genre de technique, quelque soit le navigateur.

A noter que ce bug est connu sous Mozilla depuis des lustres (2 ans et demi).
Rien de neuf, donc ! ;-)
Pourtant, tout le monde s'étonne qu'il ne soit toujours pas corrigé.
Sur BugZilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=124750 (attention c'est en anglais)

Déjà plus de 200 commentaires sur ce pb.
En fait, c'est tout simple, ouvrir un nouvel onglet n'empêche pas l'exécution des autres pages, en particulier la fonction qui permet de sélectionner un champ pour taper dedans. Donc quand vous tapez votre login, ne validez pas sans vérifier que vous êtes sur la bonne page!

tient je pensais que c'était déjà trop long a votre gout que MS nous fasse attende 1 ou 2 mois...là deux ans et demi forcément personne n'en parle ....
Enfin je suis sur que cette découverte va faire avancer les chose, enfin espérons...