Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Faille 0 day dans Internet Explorer, les détails déjà disponibles

Le chercheur John Page a publié les détails et un prototype d’exploitation d’une vulnérabilité dans Internet Explorer. Une décision prise à la suite d’un refus de Microsoft de s’en occuper diligemment.

La faille est de XXE (XML eXternal Entity) et réside dans la manière dont Internet Explorer prend en charge les fichiers MHT. Ces derniers ont été pour rappel pendant longtemps le format classique d’enregistrement des pages web quand l’utilisateur voulait les enregistrer localement (Ctrl + S).

Bien que tous les navigateurs soient passés au HTML depuis longtemps, les fichiers MHT sont ouverts par défaut via Internet Explorer, même sur les Windows les plus récents.

Selon Page, ils peuvent donc être utilisés pour exploiter la faille dans Internet Explorer, exploitable de manière qu’aucune interaction de l’utilisateur soit requise. Le pirate serait alors en mesure de dérober des données locales.

Qu’Internet Explorer ne soit plus utilisé que par 6 ou 7 % des utilisateurs dans le monde n’y change pas grand-chose : le navigateur est installé par défaut et ouvre les fichiers MHT. En théorie, tout ce dont un pirate a besoin est donc d’un double clic sur une archive MHT.

Microsoft n’a pas refusé de corriger le problème, mais a répondu que ce ne serait pas dans l’immédiat. Le problème ne semble pas urgent à l’éditeur. La publication des informations par John Page pourrait donc accélérer le mouvement.

11 commentaires
Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 15/04/19 à 10:14:47

Il suffirait dans un premier temps de désactiver l'association automatique, non ? :keskidit:

Avatar de PercevalIO INpactien
Avatar de PercevalIOPercevalIO- 15/04/19 à 11:51:27

J'ai été obligé de ressortir IE ce matin pour un client qui doit utiliser le portail de dématérialisation des marchés publics. Ça tourne avec du Java, or ce dernier n'est plus fonctionnel sur les dernières versions de Firefox (blocage complet du NPAPI).
Obligé de ressortir ce navigateur moisi pour des bêtises de ce genre, on s'en passerait...

Avatar de Cashiderme INpactien
Avatar de CashidermeCashiderme- 15/04/19 à 11:58:08

Jarodd a écrit :

Il suffirait dans un premier temps de désactiver l'association automatique, non ? :keskidit:

Ça ne fera qu'un clic supplémentaire pour l'utilisateur quand Windows lui demandera avec quoi ouvrir son fichier Emilia_Clark_Nude_HD.jpg.mht

Avatar de Bill2 INpactien
Avatar de Bill2Bill2- 15/04/19 à 12:02:30

En gros, là, tu es en train de cracher sur IE, alors que c'est le seul encore capable d'accéder à un site qui tourne avec d'ancien standards sur lequel ton client doit impérativement se connecter ...

Perso, je cracherai plutôt sur les auteurs du site, mais bon ...

Avatar de Bill2 INpactien
Avatar de Bill2Bill2- 15/04/19 à 12:03:27

Cashiderme a écrit :

Emilia_Clark_Nude_HD.jpg.mht

Partage ton fichier ! LOL

(Ceci était un message ironique, bien entendu ...je préfère préciser, on ne sait jamais)

Avatar de Ailothaen Abonné
Avatar de AilothaenAilothaen- 15/04/19 à 12:19:10

J'avais découvert le MHT il y a quelques mois, je trouve dommage que ce format n'ait pas "survécu" au temps.

Cela aurait été un format très pratique pour sauvegarder des pages statiques sans avoir des dizaines de fichiers dans un dossier "resources" juste à côté (MHT stocke les fichiers externe dans le fichier lui-même en base64 de la même manière que les mails, si je me souviens bien)

Une autre utilité aurait été de pouvoir faire des applications HTML/CSS/JS "offline" : à ce moment-là, j'avais une application web avec pas mal de JS que je voulais distribuer sous une version "offline", et j'aurais voulu faire un seul fichier qui contient tout, plutôt que d'utiliser Electron ou de faire télécharger un zip à l'utilisateur. J'avais fait un post sur stackoverflow :https://stackoverflow.com/questions/51875233/is-there-a-thing-such-as-packaged-w...

Édité par Ailothaen le 15/04/2019 à 12:19
Avatar de Vekin Abonné
Avatar de VekinVekin- 15/04/19 à 13:25:51

Moins connu, mais il y a aussi les HTA (HTML Application).

Avatar de Freeben666 Abonné
Avatar de Freeben666Freeben666- 15/04/19 à 14:50:29

Le problème n'est pas que les navigateurs récents ne puissent plus faire tourner d'anciennes applis, mais les décisions prisent lors de la mise en place de tels outils, utilisant des technologies fermées (ActiveX, ...) et non pérennes. Au boulot ils nous ont lancé il y a moins d'un an un outil en Silverlight...

Avatar de PercevalIO INpactien
Avatar de PercevalIOPercevalIO- 15/04/19 à 15:58:52

Il faut comprendre dans mon commentaire que je crache pour le coup plus sur Firefox que sur IE, car c'est à cause du blocage imposé par Firefox que je suis contraint de ressortir ce navigateur...
Après je ne vois pas ce qu'il y a de choquant qu'un site pro/public utilise du Java (surtout pour de la gestion de clef crypto), il est heureusement fini le temps des ActiveX et de certains sites institutionnels français ou l'usage de IE était obligatoire, y compris pour ceux avec accès en carte à puce 😂
Mais là, c'est Firefox qui fout la pagaille. Qu'il bloque les plugins un peu foireux, mais du Java, on est plus chez mémé qui consulte son relevé Enedis, on est chez les pros... Le risque zéro n'existe pas, mais bon de la sandbox de VM Java, c'est pas non plus la fin du monde...

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 15/04/19 à 20:08:12

Cashiderme a écrit :

Ça ne fera qu'un clic supplémentaire pour l'utilisateur quand Windows lui demandera avec quoi ouvrir son fichier Emilia_Clark_Nude_HD.jpg.mht

Alors il faut associer avec le bloc-notes par défaut :transpi:

Quoique certains pervers doivent rechercher du pr0n ASCII ! :perv:

Il n'est plus possible de commenter cette actualité.
Page 1 / 2