Importante faille dans Internet Explorer
Par Korben le 29 juin 2008
Je vous préviens (et c’est normal), une faille assez importante vient d’être découverte dans Internet Explorer 6, 7 et 8 qui permet à un pirate d’enregistrer les touches que vous tapez au clavier, même si vous changez de site.
Ca veut dire qu’un site piégé pourrait lancer quelques javascripts qui enregistreraient toutes vos actions c’est à dire (surtout !) les mots de passe et login que vous tapez dans votre browser.
Il n’y a pas encore de patch et la seule solution est de désactiver le javascript…
Pas pratique j’en conviens…
Ou alors vous pouvez utiliser Firefox ou Opéra ou un autre…(en attendant)
Si vous voulez tester la faille allez faire un tour sur ce site avec IE.
Je vous recommande aussi la lecture des sujets suivants
- Un nouvelle faille dans Internet Explorer
- IE 4 - Firefox 2 ! Vive les failles de sécurité !
Grossefaille non patchée dans Wordpress ! Amis bloggers, voici l’astuce pour éviter le drame…- Utilisez Gmail comme client mail par défaut dans Firefox
- L’exploit de la faille DNS est de sortie
? Le nouveau fromage suisse est de retour ! ><
bekhan
Pourquoi ça m’étonne pas ?
Posté le 29 juin 2008 à 13:41:49
Yazerty
ouch ça a l’air très violent quand même là :o. Etonnant que cette faille n’ait été découverte que maintenant (IE 6 existe depuis bien longtemps par exemple, …), non ?
Posté le 29 juin 2008 à 14:09:27
ScarySeb
Et on fait quoi une fois sur le site avec IE ??
Je suis anglophobe, mais j’ai clicker la sur sample POC and …
Posté le 29 juin 2008 à 14:52:04
teji
ScarySeb > Une fois que tu clique sur “Sample PoC Here.” il ouvre une nouvelle fenêtre, tape sur tes touches et tu verra que il capture les lettre en haut a gauche.
ps : je ne suis pas anglophone ^^
Cordialement.
Posté le 29 juin 2008 à 15:22:09
kobra007
Merci pour l’info, et cela confirme de toujours rouler sur le web avec Firefox ou Opéra…
Posté le 29 juin 2008 à 15:23:05
kanjusei
J’ai testé et j’ai rien vu .
Posté le 29 juin 2008 à 15:35:39
billyboylindien
Ne marche pas sur mon iE6.
Je dois faire partis des 40%
Posté le 29 juin 2008 à 16:06:45
Kyotoweb
Deux solutions en attendant un patch :
- http://lifehacker.com/396511/keyscrambler-encrypts-browser-keystrokes
- http://www.getfirefox.com/
Posté le 29 juin 2008 à 16:26:36
Unicornis
Avec IE 7 sous Vista il est carrément impossible d’utiliser l’ascenseur. La page ne fait que se réactualiser.
Pas au point ce script j’ai même pas le temps de lire le moindre article et encore moins d’écrire.
Le plus étrange c’est qu’après avoir cliqué sur “Sample poc here” je suis redirigé sur le blog hackademix.net que ce soit avec IE ou Firefox et non pas sur une page spécifique.
Comment ce fait il qu’aucune alerte de sécu même de la part de Microsoft ne soit encore diffusée et comment se fait il que les sites utilisant ce script (une simple recherche avec google permet de retrouver un javascript utilisé dans une page) ne soit pas fermés ?
Posté le 29 juin 2008 à 16:32:11
Nono71C
J’ai pas compris l’interet de ce post tout de suite….
Il demande pas de mot de passe sur le site de firefox pour le télécharger
Après normalement on sort pas en Internet Explorer… Qui oserait sortir a poil? Bon d’accord il fait presque 40 a l’ombre
Posté le 29 juin 2008 à 17:29:10
Bluespear
Ca aurait été firefox ça serait déjà corrigé… comme quoi.
Faudra bien attendre la fin du moins pour IE ;D
Posté le 29 juin 2008 à 17:59:37
Greg
Korben t’as oublié deux “s” dans le titre. Ah les jeunes…
Posté le 29 juin 2008 à 20:49:47
Link
“Ca aurait été firefox ça serait déjà corrigé… comme quoi.”
lol… malheureusement pour vous tous, cette faille concerne également Firefox!
elle est connu depuis environ deux mois, son auteur a dit qu’elle concernait tous les navigateurs, et que la faille n’avait été corrigée dans aucun d’entre eux
voir: http://hackademix.net/2008/05/09/misterious-ghost-stories/
les pseudo journalistes ne font décidément plus leur boulot de nos jours…
et les lecteurs s’enflamment à coup de “vive firefox” alors qu’il n’y a franchement pas de quoi quand on voit que la faille critique de firefox 2 et 3 dévoilée il y a 12 jours n’est toujours pas corrigé (microsoft, lui, met en moyenne 6jours pour corriger les failles)
En attendant, avec IE7 sous vista et son mode protégé, on est en protégé des failles critiques (qui permettent d’écrire sur le disque dur pour installer des spywares) comme celle qui touche firefox 3
pour rappel avec le mode protégé, le processus Internet Explorer n’a aucun droit d’écriture sur le disque dur, ainsi s’il est compromis (exploitation de faille), il neut peut pas y avoir installation de spyware, contrairement à une faille du meme type sous firefox!
(la preuve ici : http://www.generation-nt.com/microsoft-windows-ani-faille-vulnerabilite-935423-curseurs-animes-firefox-ie7-actualite-23683.html)
conclusion, sortez protégés, surfez avec IE (et Vista)!
Posté le 30 juin 2008 à 00:38:22
Greg
@Link : “Suerfez avec IE (et Vista)!” c’est un ordre. J’aime pas les ordres. Je suis bien sous Vista, avec Firefox 3 par contre et je pense que chacun est libre de choisir son navigateur. Pas besoin de faire l’apologie de l’un ou de l’autre. (D’ailleurs moi je ne l’avais pas faîte ! ^^)
Posté le 30 juin 2008 à 17:17:05
Link
“Je suis bien sous Vista, avec Firefox 3 par contre et je pense que chacun est libre de choisir son navigateur. ”
si la sécurité de ton pc ne compte pas pour toi, aucun probleme
par contre si tu attrapes un trojan qui envoie du spam grace à cette faille de firefox 3, tu contribues à la diffusion de pubs pr le viagra dans nos boites aux lettres…
“Pas besoin de faire l’apologie de l’un ou de l’autre. (D’ailleurs moi je ne l’avais pas faîte ! ^^)”
la moitié des autres commentaires ne se sont pas génées pour faire l’apologie de firefox, à tort…
Posté le 30 juin 2008 à 17:21:16
jeromecold
“par contre si tu attrapes un trojan qui envoie du spam grace à cette faille de firefox 3″
On parle d’une big faille d’IE là ! Tu parles sans savoir de quoi là ^^.
Posté le 30 juin 2008 à 17:22:57
Rahimblak
De simples XSS/ajax et on peut s’amuser aussi
Posté le 30 juin 2008 à 17:43:32
Link
“On parle d’une big faille d’IE là ! Tu parles sans savoir de quoi là ^^.”
apparemment tu ne sais pas lire
c’est une faille qui concerne tous les navigateurs
mais c’est une faille mineure (qui ne permet pas l’installation de spywares et qui ne survit pas à la fermeture d’une fenetre du navigateur)
par contre firefox3 a une faille critique non corrigée publiée depuis 13jours… et ça c’est une “big faille” car elle permet d’installer des spywares
Posté le 30 juin 2008 à 22:36:02
jeromecold
@Link: Je retire ce que j’ai dit et je te présente mes scuzes! J’avais pas lu toutes les réponses!
Posté le 1 juillet 2008 à 14:35:25