S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Les liaisons dangeureuses d'Internet Explorer et Flash

Le phishing et le spoofing facilités

Le chercheur en sécurité Hai Nam Luke vient de découvrir une vulnérabilité dans les liaisons entre Internet Explorer et le format swf, de Macromedia Flash. Classée modérément critique par Secunia, la faille pourrait malgré tout servir de fructueux terreau à une attaque par phishing ou spoofing, afin d’imiter au mieux les traits d’un site officiel et honorable.

Pratiquement, le bug se concentre dans une erreur de l’affichage d’un fichier Macromédia Flash et d’un site dans une même fenêtre du navigateur appelée par la fonction window.open. Exploitée malicieusement, elle permet alors de faire afficher une fausse URL dans la barre d’adresses du navigateur. L’on imagine alors sans mal un faux site bancaire monté pour récolter les coordonnées personnelles (numéro de compte, mot de passe, n° de carte de crédit, etc.), affichant fièrement l’URL officielle de la société imitée.

ie Flash faille

Autre problème, la faille impacte un grand nombre de versions d’IE 6, qu’elles soient sous XP SP1, SP2, Windows Serveur 2003, XP Pro x64 Edition, mais encore sous Windows 98, 98 Se, ou Me. Internet Explorer 5.01 SP4 sous Microsoft Windows 2000 SP4 est encore touché. Le site de sécurité Secunia a mis en ligne un test, sans danger, pour matérialiser la faille. On cliquera à cette fin sur « Test Now – Left Click on This Link ». Une page hébergée chez Secunia affichera cependant Google.com en URL. Sauf à désactiver l’Active Scripting dans la zone « Internet » des options de sécurité du navigateur, mais en perturbant du coup l’affichage de certains sites, aucune rustine n’est à ce jour disponible.
Source : Secunia
Publiée le 06/04/2006 à 11:06

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;