Vulnérabilités
Internet Explorer sous haute surveillance
Par Jerome Saiz, le 22 nov 2005 à 13:34:00.
Situation explosive pour Internet Explorer : une faille critique non corrigée est désormais confirmée par un code d'exploitation lâché dans la nature. La vulnérabilité permettrait la prise contrôle de l'ordinateur à la simple visite d'un site web piégé. Elle a maintenant toutes les chances d'être largement utilisée par les escrocs du web pour installer spywares, adwares et autres robots zombies en quantités industrielles.
Une vulnérabilité non corrigée capable d'offrir le contrôle de l'ordinateur à la seule visite d'un site web est déjà un souci majeur. Mais lorsqu'un groupe de pirates décide de publier son mode d'emploi sur Internet, la situation devient franchement explosive.
Et c'est précisément ce qui est entrain de se passer pour Internet Explorer. Découverte en mai dernier, la vulnérabilité a d'abord été considérée comme mineure car elle ne permettait que de faire "planter" le navigateur. Microsoft n'avait semble-t-il même pas jugé nécessaire de la corriger.
Mais voilà qu'aujourd'hui les cadavres sortent du placard : un groupe de pirates vient d'annoncer que cette faille est beaucoup plus grave que ne le pensait l'éditeur. Et pour le prouver, il vient de publier un code d'exploitation fonctionnel capable de prendre le contrôle de l'ordinateur à la seule visite d'un site web piégé.
La vulnérabilité concerne Javascript, et plus précisément la commande
OnLoad lorsqu'elle est utilisée avec la fonction window(). Son exploitation a été confirmée avec toutes les versions de Windows et Internet Explorer 5 et 6, y compris celles entièrement à jour de leurs correctifs de sécurité. Seule exception : Windows Server 2003, qui ne serait pas vulnérable grâce à sa bonne utilisation de droits réduits.En l'absence de tout correctif disponible, Internet Explorer est donc à nouveau une cible toute désignée pour les mafias du web, qui vivent de l'installation sauvage de logiciels publicitaires ou de robots (les fameux bots chargés de créer un réseau de PC zombies qui seront ensuite loués pour l'envoi de spam ou l'attaque de sites web commerciaux).
L'impact de cette vulnérabilité pourrait être particulièrement sévère. Seul motif de réconfort : il n'y a actuellement aucune vulnérabilité serveur exploitable en parallèle. Les sites web piégés devraient donc se limiter à ceux que contrôlent déjà les escrocs. L'on devrait ainsi pouvoir éviter une attaque massive à la façon de Scob.
En attendant le correctif, les adeptes d'Internet Explorer (car il en reste...) devraient désactiver l'Active Scripting dans les options de leur navigateur, ou se faire violence et télécharger un autre navigateur, Opera ou Firefox par exemple.
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssDécès de Christophe Pipparelli
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
