Samedi 31 Janvier 2004

13:49:20

Signe ostenstatoire de masochisme - LSZ

Parler de faille de sécurité revient assez souvent à évoquer les problémes de Microsoft avec son célébre navigateur , MSIE.

Aprés le spoofing d'adresse, deux nouvelles failles d'Internet Explorer ont été révélées:

• la premiére faille de sécurité concerne la possibilité de construire un dossier contenant un script et un fichier exécutable, permettant potentiellement l'exécution de code malveillant lorsque l'utilisateur ouvre ce type de dossier. Il n'y a actuellement aucune maniére de se protéger de cette faille, à part de ne pas ouvrir les dossiers dont vous n'êtes pas sûr.


• la deuxiéme faille de sécurité concerne la possibilité de masquer la nature réelle d'un fichier. Celle-ci est habituellement définie par l'extension associée à son type MIME, par exemple .txt, .jpeg, .pdf, etc. Sous windows, un fichier peut aussi être défini par son CLSID qui est une clé définie dans la base de registre. Si cette clé est contenu dans le nom du fichier, par exemple monfichier.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}, Internet Explorer ne montre pas le CLSID mais uniquement l'extension .txt du fichier qui est en fait un fichier .hta, extension propriétaire Microsoft pour désigner une sorte de fichier html exécutable pouvant contenir du code donnant un accés en lecture-écriture au systéme de fichier et à la base de registre sur le PC client (rien que ça !!!). En cliquant sur un lien vers un fichier avec une extension innocente (.txt dans l'exemple ci-dessus), vous voilà donc malgré vous en train de lancer un fichier exécutable (fichier .hta) pouvant potentiellement contenir du code malveillant. Il existe un exemple célébre permettant d'ouvrir le tiroir de votre CDROM en cliquant sur un lien html innocent (voir le code source ci-dessous). Mais vous pouvez tout aussi bien diffuser un virus ou pourquoi pas formater votre disque dur, ... Il n'y a pas de patch pour cette faille dont Microsoft semble pourtant avoir été informé il y a déjà un petit moment. La seule parade consiste à ne pas cliquer sur un lien dont vous n'êtes pas sûr à partir d'Internet Explorer.

Ne plus cliquer sur un lien dont vous n'êtes pas sûr est d'ailleurs la solution qui est officiellement retenue par Microsoft pour se protéger du spoofing d'adresse et des liens hypertexte nuisibles:

Le moyen le plus efficace pour vous protéger des liens hypertexte nuisibles consiste à ne pas cliquer dessus. Tapez plutôt vous-même l'URL de votre destination déterminée dans la barre d'adresses. En tapant manuellement l'URL dans la barre d'adresses, vous pouvez vérifier les informations utilisées par Internet Explorer pour accéder au site Web de destination. Pour ce faire, tapez l'URL dans la barre d'adresses, puis appuyez sur ENTRÉE.

Et pour conclure, Microsoft envisage tout bonnement de supprimer l'authentification par l'URL dans les prochaines versions d'Internet Explorer, afin de contrer la faille non corrigée sur le spoofing d'adresse. A terme, il ne sera donc plus possible d'utiliser une syntaxe du genre http(s)://utilisateur:motdepasse@serveur/ avec Internet Explorer.
Voilà de quoi s'interroger sur la fiabilité de ce navigateur.

Surfer avec Internet Explorer est un signe ostentatoire de masochisme.

Update:
Microsoft a publié le 2 février un patch corrigeant la faille concernant la mystification d'URL (URL spoofing). Ce patch corrige cette faille en supprimant le support de l'identification par l'utilisateur et le mot de passe dans l'URL.
A noter qu'il existe aussi un patch open source disponible depuis le 20 décembre.
Quand aux deux autres failles signalées dans cette article, elles ne semblent pas avoir été encore corrigées.

Code source pour obtenir l'ouverture du tiroir du lecteur de CDROM:

<SCRIPT language=VBScript>
<!--

Set oWMP = CreateObject("WMPlayer.OCX.7" )
Set colCDROMs = oWMP.cdromCollection

if colCDROMs.Count >= 1 then
For i = 0 to colCDROMs.Count - 1
colCDROMs.Item(i).Eject
Next ' cdrom
End If

-->
</SCRIPT>