Faille dangereuse pour Internet Explorer

[dAs]

L'information vient juste de paraitre, il y a une faille de sécurité dans la maniére dont Internet Explorer affiche les URLs dans la barre d'adresse. La simplicité d'application de cette vulnérabilité la rend trés dangereuse.

Une personne malintentionnée peut afficher un lien qui semblerait déboucher sur une source sure alors qu'en fait vous arriveriez sur une page hebergée par le pirate.

Test de la vulnérabilité :
<A HREF="http://www.echu.org/divers/testfailleIE.htm" TARGET="_blank">http://www.echu.org/divers/testfailleIE.htm</A>

Plus d'informations :
<A HREF="http://www.echu.org/modules/news/articl ... toryid=464" TARGET="_blank">http://www.echu.org/modules/news/articl ... yid=464</A>

Pour le moment il convient de ne simplement plus utiliser Internet Explorer, ou alors d'être extrémement vigilant, en attendant que Microsoft ait publié un correctif.

[dAs]

La faille a été testé avec mozilla firebird 0.7, elle y fonctionne aussi, bref en attendant n'utilisez pas non plus ce navigateur !

[reymarc]

<IMG SRC="/images/smiles/omg_smile46.gif">

Qu'est-ce qu'il faut utiliser alors pour surfer (ou simplement pour aller chercher le correctif) ???

Bonsoir à  tous quand même

[dAs]

Il existe plusieurs autres navigateurs, la version complete de mozilla n'est pas vulnérable, avant browser ne l'est pas non plus (même s'il utilise IE).

Il y a aussi opera...

Enfin bon en tout cas pour le moment il n'existe pas de correctif mais dés qu'il est publié je le metterais ici.

[maxell]

salut

je viens de tester MYIE2 et l'URL afficher est bien <a href="http://www.microsoft.com" target="_blank">http://www.microsoft.com</a> et si je valide je me retrouve bien sur la page de microsoft.

Donc à§a veux dire pas de faille ??

[dAs]

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1><b>Citation :</b></font></TD></TR></TABLE><TABLE BORDER=1 CELLPADDING=10 BORDERCOLOR=#FF0000 ALIGN=CENTER WIDTH=85%><TR BGCOLOR=#F3F2F4><TD><FONT SIZE=-1>je viens de tester MYIE2 et l'URL afficher est bien <a href="http://www.microsoft.com" target="_blank">http://www.microsoft.com</a> et si je valide je me retrouve bien sur la page de microsoft.</FONT></TD></TR></TABLE>

Il est simplement impossible de se retrouver sur le site de microsoft, tu n'as simplement pas vraiment lu la page que tu as vu apparaître, en effet tu ne tombes pas sur le site de microsoft mais sur un faux site dont voici la copie d'écran :

<IMG SRC="http://www.echu.org/images/shot14.jpg" BORDER="0">

Enfin je me trompe peut-être car c'est la première fois de ma vie que j'entends parler d'un navigateur se nommant MYIE2, tu pourrais préciser ce que c'est s'il te plait?

[maxell]

salut

<a href="http://www.ldfa.firstream.net/html_fr/home.htm" target="_blank">http://www.ldfa.firstream.net/html_fr/home.htm</a>

voici le lien pour ce qui concerne MYIE2 et si tu faire une recherche sur le forum tu trouveras aussi une discution dessus.

Pour ce qui concerne la faille il y a un truc que je ne comprend pas

L'url dans la barre d'adresse devrait être <a href="http://www.microsoft.com" target="_blank">http://www.microsoft.com</a> pourtant vous êtes bien loin d'être sur le site de l'éditeur

Si tu regarde dans la barre d'adresse tu as bien <a href="http://www.microsoft.com" target="_blank">http://www.microsoft.com</a> d'ecrit, alors qu'il est dit

L'url dans la barre d'adresse "devrait" être <a href="http://www.microsoft.com" target="_blank">http://www.microsoft.com</a>

Si il est ecrit devrais etre c'est qu'en theorie tu devrais avoir une autre adresse non ??

Je tombe sur les meme message que tu as mais si je clique sur "ok" pour aller a l'URL j'arrive bien sur la bonne page.

[maxell]

ok desoler , je viens d'aller voir sur ton 2eme lien l'explication mais bon je ne comprend pas tout si quelqu'un pouvais m'explique en mot simple le bug à§a serai sympa merci .

[elendil]

Salut ,
moi j'ai regardé sur la page de test et j'ai à§a dans la barre d'adresse :
<a href="http://www.microsoft.com@www.echu.org/d ... illeIE.htm" target="_blank">http://www.microsoft.com@www.echu.org/d ... eIE.htm</a>
donc je vois bien que je ne suis pas sur le site de microsoft !
j'utilise "avantbrowser" comme navigateur ;
donc il semblerait que "AvantBrowser" n'a pas cette faille

Par contre bien sur , si j'essaye avec I.E. , je ne vois que le début de l'adresse , soit : <a href="http://www.microsoft.com/" target="_blank">http://www.microsoft.com/</a> et donc je ne peux pas me rendre compte que je suis sur un autre site

[logun]

salut,

la faille utilise un caractere special qui normalement sert à  masquer un mot de pass dans une adresse internet :

<a href="http://login:pass@adressedusite" target="_blank">http://login:pass@adressedusite</a>

ici le caractere est détourné pour masquer l'adresse veritable, et afficher à  la place du login une adresse theorique.

ici la véritable adresse est :

<a href="http://www.microsoft.com%01@www.echu.or ... illeIE.htm" target="_blank">http://www.microsoft.com%01@www.echu.or ... eIE.htm</a>

[dAs]

Bonjour,

J'avais dit que je vous tiendrais au courant dés la sortie d'un correctif, et bien Microsoft ne s'est toujours pas manifesté mais OpenWare a sorti son patch maison qui marche trés bien.

Je vous conseille donc fortement de l'installer :
<a href="http://www.openwares.org/downloads/IEpatch.EXE" target="_blank">http://www.openwares.org/downloads/IEpatch.EXE</a>

[Lady rose]

Bonsoir dAs

Il y avait 10 minutesj'avais le meme probleme que toi et grace a ton aide indirect j'ai pu résoudre mon probleme car j'ai suivi tes instruction concernant le téléchargement du patch IE.

Merci encore.

<IMG SRC="/images/smiles/teeth_smile46.gif">