Internet Explorer - Exploitation de deux failles critiques et non patchées !
|
F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Période d'essai gratuite de 15 jours
|
|
Deux vulnérabilités d'Internet Explorer semblent être utilisées par des sites web commerciaux afin d'installer des outils publicitaires à l'insu des internautes. Aucun correctif n'est encore disponible, mais quelques astuces peuvent limiter les dégâts.
Si votre navigateur Internet Explorer s'est subitement mis à vous présenter plus de fenêtres pop-up publicitaires que d'ordinaire, peut-être venez-vous d'être victime des deux dernières failles à la mode chez les cow-boys de la publicité en ligne ! Découvertes cette semaine par un chercheur indépendant et publiées sur une liste de discussion spécialisée, ces deux vulnérabilités seraient en réalité connues depuis bien plus longtemps par certaines sociétés de publicité sur Internet.
|
|
Le chercheur à l'origine de la découverte a été ainsi prévenu par un correspondant victime de l'installation sauvage d'un logiciel publicitaire au cours d'une séance de surf. Personne ne sait depuis quand ces failles sont activement exploitées.
L'attaque fonctionne grâce à l'exploitation successive de deux vulnérabilités : la première permet d'exécuter du code sur l'ordinateur de la victime et la seconde de faire en sorte que ce code s'exécute dans un cadre moins restrictif que la "zone Internet" d'Internet Explorer, justement prévue pour éviter ce type d'abus.
Exploitées ensembles, ces failles sont à l'origine de la récente vague d'installations sauvages de la barre de recherche "I-Lookup". Celle-ci est éditée par une société de marketing en ligne basée au Costa Rica et connue pour ses techniques plutôt agressives, même si rien ne prouve qu'elle soit à l'origine des installations frauduleuses.
Une fois installée, la barre "I-Lookup" se permet de modifier la configuration du navigateur. Elle en change la page de démarrage, le dirige vers des sites publicitaires et affiche régulièrement des fenêtres pop-up, elles aussi publicitaires.
Microsoft, prévenu en même temps que le reste du monde via une liste de diffusion, travaillerait déjà sur un correctif. Indice de l'ampleur de ces installations sauvages : le patch pourrait être diffusé dès qu'il est prêt, et donc sans respecter le cycle mensuel instauré par l'éditeur l'an dernier.
En attendant le correctif salvateur, les adeptes d'Internet Explorer peuvent désactiver l'exécution des scripts pour tous les sites (une solution guère pratique), ou profiter de l'occasion pour essayer un autre navigateur !
» 06.11.2004 : Internet Explorer Local Resource Access & Cross-Zone Scripting Vuln.
Par Jérôme Saiz (LesNouvelles)
|