IE 4 - Firefox 2 ! Vive les failles de sécurité !

Par Korben le 6 juin 2007

Un expert en sécurité polonais vient de trouver 4 nouvelles failles dans IE 6 et IE 7 et 2 autres dans Firefox.

Ces failles sont pour le moment non patchées et peuvent permettre des choses très vilaines comme du vol de cookie, de l’interception de message du détournement de page web, faire déborder la mémoire du navigateur et j’en passe !

La première des 2 failles fonctionne avec IE. Un javascript ordonne au navigateur de faire des aller-retour rapides entre 2 sites. Le site attaquant essaye d’exécuter un javascript malveillant avec les permissions de l’autre site… Le navigateur internet se mélange les pinceaux et le drame arrive.

Vous pouvez tester cette faille ici avec Internet Explorer 6 ou 7:

http://lcamtuf.coredump.cx/ierace/

La seconde faille sur Firefox permet avec un simple javascript et avec une faille dans les IFRAME d’injecter du javascript malveillant afin de faire par exemple de l’interception de touches entrées avec votre clavier.

Essayez la démo et appuyez sur la touche X, vous verrez le délire.

http://lcamtuf.coredump.cx/ifsnatch/

Toutes les infos sont sur [Full-disclosure] Assorted browser vulnerabilities

Je vous recommande aussi la lecture des sujets suivants

4 Commentaire(s)

  1. MyAvatars 0.2

    pihug12 Reply to this comment

    Le test sous IE7 ne marche pas chez moi. J’ai un message au bout de 120 secondes qui dit que mon navigateur n’est pas vulnérable. :roll:

    Et le test sous Firefox fonctionne bien avec le pop-under. J’appuie sur ‘x’ puis j’ai un message mais après je ne vois rien d’anormal. :eek:

    Posté le 7 juin 2007 à 09:04:07

  2. MyAvatars 0.2

    admin Reply to this comment

    IE 7 serait déja patché ? J’ai testé qu’avec IE 6.
    Le fait que tu appuis sur X et que ca te mette un message qui te dis sur quelle touche tu as appuyé, c’est ça la faille !! Y’a rien a voir de plus… Ca intercepte les touches clavier.

    Posté le 7 juin 2007 à 10:28:54

  3. MyAvatars 0.2

    schmoupie Reply to this comment

    Concernant le test sous IE7, j’ai le même message que pihug12…

    Posté le 7 juin 2007 à 10:30:16

  4. MyAvatars 0.2

    test Reply to this comment

    Moi je bloque les popups (m^ désirées) avec TabMix, pour toujours afficher une seule fenêtre. :-p Du coup je vois pas ce qu’il y a à voir.

    Posté le 12 décembre 2007 à 01:54:31

Lacher un com'


Les liens des commentaires peuvent être libérés des nofollow.
Post suivant »
« Post précédent