Faille dans IE

[vandutch]

Faille dans Internet Explorer, découverte par des chercheurs et diffusée lors de la Black Hat DC mardi 02/02/2010. Cette faille qui touche toutes les versions de la 5.01 à la 8 permet à un attaquant d’accèder et de lire le contenu de certains fichiers de votre disque dur, à travers un simple site web piégé. Pour ce faire, il utilise une faille dans le partage admin qui existe par défaut sous Windows XP (mais pas sur la version Home), transformant ainsi votre ordinateur en serveur de fichier.

La faille ne touche pas la version Home de XP car celle-ci n’a pas par défaut de partage C$ caché qui permette d’accéder au disque dur. Et pour Windows 7, Vista et 2003/2008, tant que vous ne désactivez pas le mode protected, aucun risque.

La partie d’IE qui s’occupe de la sécurité ne vérifie pas toujous si l’url entrée dans le navigateur est du bon format. Ainsi, il est possible sous certaines conditions de demander à un javascript d’accèder à une url de ce type file://127.0.0.1/C$/…/index.dat et surtout de lire le fichier pour ensite l’exploiter. Toutes les explications techniques sur cette attaque sont disponibles ici.


Microsoft a publié une astuce en attendant le correctif pour éviter ce problème.



Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

• Windows Internet Explorer 8 sur le système suivant
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
  • Windows 7 Entreprise
  • Windows 7 Édition Familiale Basique
  • Windows 7 Édition Familiale Premium
  • Windows 7 Professionnel
  • Windows 7 Édition Integrale
  • Windows Vista Professionnel
  • Windows Vista Entreprise
  • Windows Vista Édition Familiale Basique
  • Windows Vista Édition Familiale Premium
  • Windows Vista Édition Intégrale
  • Windows Vista Entreprise 64 bits
  • Windows Vista Édition Familiale Basique 64 bits
  • Windows Vista Édition Familiale Premium 64 bits
  • Windows Vista Édition Intégrale 64 bits
  • Windows Vista Professionnel 64 bits
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
• Windows Internet Explorer 7 sur le système suivant
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Professionnel
  • Windows Vista Entreprise
  • Windows Vista Édition Familiale Basique
  • Windows Vista Édition Familiale Premium
  • Windows Vista Édition Intégrale
  • Windows Vista Entreprise 64 bits
  • Windows Vista Édition Familiale Basique 64 bits
  • Windows Vista Édition Familiale Premium 64 bits
  • Windows Vista Édition Intégrale 64 bits
  • Windows Vista Professionnel 64 bits
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
• Microsoft Internet Explorer 6.0 sur le système suivant
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
• Microsoft Internet Explorer 6.0 SP1 sur le système suivant
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
• Microsoft Internet Explorer 5.01 Service Pack 4 sur le système suivant
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server

[vbag]

merci frère vandutch pour l'info

vive firefox

[keny]

merci de ta contibution

[montoya]

salam merci beaucoup pour l'info

[nazimdoran]

Pour info:a propos de firefox
http://www.clubic.com/actualite-3238...ml#commentaire