Vulnérabilités

Norton Internet Security pas si secure que ça...

Par Jerome Saiz, le 29 oct 2003 à 19:00:00.

C'est le coup de l'arroseur arrosé : censée protéger l'ordinateur, la suite logicielle Norton Internet Security peut-être détournée par les sites web mêmes qu'elle tente de bloquer. La faille permet à un site internet de faire exécuter un script de son choix en détournant l'alerte de Norton Internet Security !

La suite Norton Internet Security offre, entre autres, un outil de filtrage web. Ce dernier permet d'interdire l'accès à des sites Internet en fonction des thèmes qu'ils abordent.
Mais ces sites exclus ont désormais la possibilité de se venger : lorsque NIS en bloque l'accès, il affiche une page web qu'il génère à la volée. Celle-ci explique fièrement que le programme vient de bloquer l'accès à tel site, en raison de son appartenance à telle catégorie prohibée. Mais la page, dans un louable souci de clarté, fournit aussi l'adresse complète qui a été bloquée. Et c'est là que le bât blesse. Les développeurs de Norton Internet Security semblent n'avoir jamais entendu parler du Cross Site Scripting, une attaque qui permet d'injecter un script dans un contenu web pour le faire s'exécuter ensuite par le navigateur de l'internaute.
C'est exactement ce qui se passe ici : si l'adresse de la page bloquée contient une balise <script>, celle-ci sera affichée dans le navigateur de l'internaute sans aucun contrôle.
La faille a été découverte par un groupe de Hackers (au sens noble...), qui ont averti Symantec. Une nouvelle version de Norton Internet Security, corrigée, est disponible via une mise à jour en ligne.

Plus d'information

L'alerte de DigitalPranksters.

Changement de cap pour Internet Security Systems. (15 oct 2003)
ZoneAlarm Internet Security passe en version 8.0 (26 août 2008)
Arnaque sur Internet : record de stupidité battu. (23 sept 2002)
Le père d'Internet critique les éditeurs de logiciels. (14 déc 2001)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres