Vendredi 12 Decembre 2003
-
Faille de sécurité de Microsoft Internet Explorer - LSZ
Il existe une faille dans la maniére dont Internet Explorer affiche les URL dans la barre d'adresse. En cliquant sur un lien du style http://www.microsoft.com&session%123123123@lionel.suz.free.fr, il est possible d'ouvrir une page qui semble provenir d'un domaine différent du domaine d'origine (dans l'exemple précédent, il serait possible de croire que la page provient de http://www.microsoft.com, alors qu'elle provient de ce site). Cette technique est trés connue des spammers, et ne résiste pas à un examen attentif de l'URL pour repérer l'astuce. Mais sous Internet Explorer, il est possible de masquer la véritable URL de la page en insérant un caractére non imprimable (%01) avant le @. Dans ce cas en effet, Internet Explorer n'affiche pas les caractéres situés aprés %01 si bien que la page peut sembler provenir d'un domaine différent de celui dont elle provient effectivement.
L'utilisation de Microsoft Internet Explorer peut endommager votre ordinateur et peut vous faire perdre vos données quand bien même vous n'auriez commis aucune erreur
Sources:
Can you trust WinIE ?
IE URL Vulnerability
Une nouvelle faille pour Internet Explorer : attention aux escrocs
Update:
Les navigateurs de type Mozilla sont aussi concernés par une faille trés similaire, déjà corrigée, mais beaucoup moins aigue dans la mesure où elle ne concerne pas la barre d'adresse mais uniquement la barre d'état, et seulement sur certaines versions de mozilla. On notera au passage l'excellence d'OPERA qui n'est absoluement pas affecté par ces failles et va jusqu'à présenter une fenêtre d'alerte
Je concluerai en citant Tristan Nitot:
Il faut dire qu'en ce moment ça doit être plus dur que jamais que de travailler chez Microsoft : comment avouer au client que la seule façon de faire ses achats en sécurité, c'est d'utiliser un navigateur concurrent ?
Update 20/12: Le probléme a été résolu grâce à la publication par la communauté open source d'un correctif pour la faille d'Internet Explorer
Update 04/02: Microsoft a publié un patch prés de deux mois plus tard ...
Nouvelles failles et patch correctif de Microsoft pour le spoofing d'adresse