Tom's Guide > Forum > Les news > Deux nouvelles failles touchent tous les navigateurs sauf Internet Explorer

Deux nouvelles failles touchent tous les navigateurs sauf Internet Explorer

Forum Les news : Deux nouvelles failles touchent tous les navigateurs sauf Internet Explorer

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
simon62142   20-10-2004 à 20:11:54

La société de recherche en sécurité Secunia vient de découvrir deux vulnérabilités qui touchent tous les navigateurs, sauf Internet Explorer. En effet, ces failles ne fonctionnent que sur les butineurs qui supportent le système de navigation par onglet. Or Internet Explorer (brut, sans aucun "add-on" ) n’en est pas doté.

Les navigateurs concernés par la première faille sont les suivants : Mozilla / Mozilla Firefox, Opera, Netscape, Safari, Konqueror et Internet Explorer si il est accompagné des surcouches Avant Browser ou Maxthon. La seconde ne concerne que Mozilla / Mozilla Firefox, Netscape, Avant Browser et Maxthon.

Testez la première faille
Testez la seconde faille

 

La première faille permet de lancer une boîte de dialogue quand un utilisateur clique sur un lien hypertexte. Il lui est alors impossible de savoir si cette fenêtre provient du site qu’il vient d’ouvrir ou du site qui lui a fournit le lien. Ce procédé peut être utilisé pour vous soutirer des informations personnelles. Exemple : vous surfez sur un site qui propose un lien vers Yahoo.fr. Une fois le lien vers Yahoo ouvert, une fenêtre vous demande de vous identifier, sans réfléchir sur l’origine de cette dernière vous entrez votre login et mot de passe, puis validez. Trop tard pour faire machine arrière, les informations seront directement récoltées par l’utilisateur malhonnête.

Quant à la seconde, elle permet à un onglet inactif (contenant le site malicieux qui exploitera la faille), de prendre le dessus sur un autre onglet (un site normal). Prenons un exemple similaire : vous surfez sur un site qui propose un lien vers Yahoo.fr, vous ouvrez Yahoo dans un nouvel onglet et commencez à entrer votre login et mot de passe dans les cases Yahoo. Vous ne verrez rien apparaître dans ces cases ! Toutes les informations entrées seront directement récoltées par le site web référant.

Source : Secunia.com

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Ancalagon   20-10-2004 à 20:14:39
- 0 +

Et bien ! Pour une fois qu'Internet Explorer n'est pas touché !!!! C'est à marqué d'une pierre blanche ! lol :-D

Répondre à Ancalagon
Antipika   20-10-2004 à 20:14:58
- 0 +

Comme toujours j'anticipe, pas de trolling SVP, je vois déjà venir les posts du type : Internet Explorer ca pue, mozilla c'est beaucoup mieux, ou le contraire, IE n'est pas affecté par ces failles mais les autres le sont...

Répondre à Antipika
fankan   20-10-2004 à 20:16:00
- 0 +

l'exception qui confirme la règle ?

des fois ca a du bon de pas proposer un système hyper pratique comme les onglets....

Répondre à fankan
itooz   20-10-2004 à 20:41:30
- 0 +

Haha antipika!!!trop tard on dirait :-P

Répondre à itooz
Ramdoman   20-10-2004 à 20:55:58
- 0 +

:-P

Pour une fois que c'est pas linverse aut en profiter !

Répondre à Ramdoman
mafiaman42   20-10-2004 à 21:33:44
- 0 +

Existe il des correctifs pour ces failles ???

Répondre à mafiaman42
ketchup@IDN   20-10-2004 à 21:35:11
- 0 +

comment corriger cette faille, je ne comprends pas?

Répondre à ketchup@IDN
Antipika   20-10-2004 à 21:42:49
- 0 +

Aucun correctif pour le moment :x

Répondre à Antipika
pydon   21-10-2004 à 00:39:48
- 0 +

Si, il y a une solution pour chacun des navigateurs cités, faut lire...

Solution:
Don't visit trusted web sites while visiting untrusted web sites or disable JavaScript



Pour Avant Browser, c'est simple: Outils -> Bloquer les applets Java (et Bloquer les contrôles ActiveX pendant qu'on y est, même si ça ne concerne pas cette faille). Et vous aurez alors la fenêtre suivante : "Invite de script Java..."


C'est un simple script java malicieux, je vois pas pourquoi Secunia en fait tout un plat, c'est connu depuis longtemps ce genre de technique, quelque soit le navigateur.

Répondre à pydon
tatmf   25-10-2004 à 16:20:25
- 0 +

A noter que ce bug est connu sous Mozilla depuis des lustres (2 ans et demi).
Rien de neuf, donc ! ;-)
Pourtant, tout le monde s'étonne qu'il ne soit toujours pas corrigé.
Sur BugZilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=124750 (attention c'est en anglais)

Déjà plus de 200 commentaires sur ce pb.
En fait, c'est tout simple, ouvrir un nouvel onglet n'empêche pas l'exécution des autres pages, en particulier la fonction qui permet de sélectionner un champ pour taper dedans. Donc quand vous tapez votre login, ne validez pas sans vérifier que vous êtes sur la bonne page!

Répondre à tatmf
guillaumeb@IDN   27-10-2004 à 19:12:58
- 0 +

tient je pensais que c'était déjà trop long a votre gout que MS nous fasse attende 1 ou 2 mois...là deux ans et demi forcément personne n'en parle ....
Enfin je suis sur que cette découverte va faire avancer les chose, enfin espérons...

Répondre à guillaumeb@IDN
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Les news > Deux nouvelles failles touchent tous les navigateurs sauf Internet Explorer
Aller à :

Il y a 2167 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,747 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens