Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XMCO : Manipulation de la barre d’URL et ActiveX dangereux dans Internet Explorer (MS07-057)

octobre 2007 par XMCO PARTNERS

Quatre failles de sécurité viennent d’être corrigées dans Internet Explorer.

Trois de ces failles permettent à un site malicieux d’offusquer sa véritable URL (Address Bar Spoofing) en laissant croire à l’utilisateur qu’il navigue sur un autre site. Cette faille est exploitable en appelant la fonction Javascript "document.open" avant la fonction "onBeforeUnload".

Microsoft corrige également un ActiveX (non précisé) qui pourrait être appelé par une page web pour manipuler, à son insue, des fichiers sur le poste de la victime.

Les failles de Spoofing d’URL sont publiquement connues depuis Février 2007 et sont utilisées par des attaques de Phishing.

Notons que plusieurs regressions sont déjà connues et documentées par Microsoft, avec notamenent des crashs d’Internet Explorer sur Windows XP SP2 (incomptabilité avec MS07-033 et MS07-045) ou l’apparition du message "Webpage cannot be displayed" avec Internet Explorer 7.

Ce correctif corrige également des problèmes non liés à la sécurité : meilleure gestion des balises TBODY, THEAD, TFOOT et amélioration de la gestion des ActiveX et des accès FTP avec Internet Explorer 7.




Voir les articles précédents

    

Voir les articles suivants