Faille extrêmement critique dans Internet Explorer
C’est par la voix du site Secunia, spécialisé en sécurité informatique, que nous venons d’apprendre la découverte d’une nouvelle faille dans le navigateur Internet Explorer de Microsoft. Ce trou de sécurité a été jugé extrêmement critique par le site et ne dispose, à l’heure actuelle, d’aucun correctif. Cette faille touche la version 6.0 d’Internet Explorer. Toutes les machines fonctionnant sous Windows 2000 sont potentiellement visées ainsi que celles tournant sous Windows XP sans le Service Pack 2.Le problème concerne la balise IFRAME permettant d’afficher une page dans une autre. En effet, un utilisateur malintentionné pourrait dissimuler du code malicieux après avoir provoqué un dépassement de tampon dans les attributs SRC et NAME de cette balise à l’aide de très longues chaînes de caractères.
Depuis la sortie de Windows XP Service Pack 2, les mises à jour de sécurité se sont faites beaucoup plus rares. Ce point nous permet de douter sur la rapidité de mise en ligne d’un correctif pour cette faille. En attendant, le site de Secunia recommande simplement de changer de navigateur pour ceux qui n’auraient pas installé le SP2.
57
Commentaires
Le haut débit majoritaire en France
- iTunes : 1 - iPodDownload : 0
- La Coupe de la Ligue sur 8 canaux Freebox TV
- Nanya et Promos: pas de baisse sur la DRAM
- Premiers détails sur l’Audigy 4 de Creative
- ATI dévoile en partie le R500
- Half-Life² sur borne d’arcade ?
- Test du Thermalright XP-90
- AOL en crise
- Le gouvernement britannique pour l'open source
MSI et le nForce 4 SLI : la supercherie
- Nouveau kit 5.1 Creative I-Trigue 5600
- Canon lance un nouvel APN Professionel
- Le sans-fil dans les prochains chipsets d'Intel
- Google se paie Keyhole
- Gmail bouche une faille de sécurité
- Le RX 480 devient Radeon Xpress 200
- Test boîtier SilverStone TJ-06
- Fuite de cerveau en direction de la Chine
- Les européens peu friands de vidéo portable
Liens commerciaux
Publicité
FireFox 1.0 +10%
![[:harkonnen]](http://img.infos-du-net.com/forum/images/perso/harkonnen.gif)
Comme quoi le service pack 2, ca peut servir...
Je dis ca, moi... je suis sous Linux
Certes mais Linux et firefox sont loin d'être à l'abris des failles de ce type.
Ce que je ne comprends pas c'est pourquoi le SP2 protège alors qu'il n'existe apparament pas de correctif? Si c'est une faille de IE le firewall ne protège normalement pas. Est ce que microsoft aurai fait un patch inclu uniquement dans le SP2?(ca serait étonnant)
Ca me parrait bizarre tous
Uther > Le SP2 contenait des mises a jour pour IE. Ils ont surrement mis en place certains mecanismes ou je ne sais quoi qui fait que le débordement de buffer qui permet l'exploitation de la vuln n'est pas possible avec un SP2.
le SP2 blinde tout de tout les côtés donc ce n'est pas surprenant
j'utilise plus IE6 depuis des plombes
en plus, j'ai envoyé un mail de reproche à ma mairie, car le player flash 6 est obligatoire, ca m'enerve d'etre obligé de telecharger ce software poor ca...
Après c'est qui qui se tape les pubs partout, hein ?
Quand les petits geeks boutonneux auront compris que le SP2 est plus sécurisé que le SP1 patché à fond, il y aura un peu moins de problème... la preuve ici.
D'ailleurs je ne vois pas trop l'intérêt de cette news... pourquoi ne pas parler des failles dans MSN messenger 4 pendant qu'on y est. MS a patché XP, ça a l'air de plutôt bien tenir pour l'instant. Dommage que beaucoup de sites joue trop clairement le jeu du "IE c'est de la merde", en relayant des infos qui n'ont pas d'utilité.
Hmmm plus je lis les news PPC plus j'ai l'impression quelles ne sont réellement pas objective du tout... Bref.
, l'a classe comme "extremement critique" alors re-soit...
Une faille sur une balise IFRAME soit, si secunia.com, site mondialement connu sur la sécurité informatique
Mais avant de se lancer dans une telle news, vous devriez quand même attendre l'avis de "véritables professionnels".
Ce n'est qu'un avis...
Quand les petits geeks boutonneux auront compris que le SP2 est plus sécurisé que le SP1 patché à fond, il y aura un peu moins de problème... la preuve ici.
D'ailleurs je ne vois pas trop l'intérêt de cette news... pourquoi ne pas parler des failles dans MSN messenger 4 pendant qu'on y est. MS a patché XP, ça a l'air de plutôt bien tenir pour l'instant. Dommage que beaucoup de sites joue trop clairement le jeu du "IE c'est de la merde", en relayant des infos qui n'ont pas d'utilité.
[Troll] Mais... "IE c'est de la merde" [/Troll]
Nan, sérieux, spa dla merde, stun programme informatique utilisé par plein de monde, c'est normal que les pirates cherchent les failles chez MS
Nan, sérieux, spa dla merde, stun programme informatique utilisé par plein de monde, c'est normal que les pirates cherchent les failles chez MS
Oh le beau troll aussi là...
pydon > L'interet c'est que ca touche IE 6 sur toutes les plate-formes sauf SP2 de XP ... donc ca laisse un gros paquet de machines bien vulnérables. Surtout qu'en on sait qu'un exploit est déjà dispo permettant de prendre à distance la main sur la machine. Donc faut vraiment en parler, quite à en ajouter une couche avec "IE c'est de la merde". Quand a MSN 4, c'est peu être un leader dans la messagerie instatanée (je ne sais pas en fait, mais ca ne doit pas être loin de ca) mais ce n'est pas l'outil le plus utilisé sur un PC quand on navigue sur le Web.
THX > Juste mon avis, secunia est un site de sécurité. Ils ont une cellule permettant de rechercher des vuln, ils sortent leurs propres avis (en plus d'en relayer) et pour les pratiquer depuis un certain temps ... ce sont loin mais loin d'etre des manches, au contraire.
PS : Juste une précision sur la vuln IE... comme dans MS tous les composants partagent tous, on a tres certainement le meme pb dans Outlook (au moins Express si ce n'est plus) lors de la visualisation de mails au format HTML.
Oh le beau troll aussi là...
Des années d'entrainement
Sérieux, j'ai acheté une télé chez carrefour, elle etait fournie avec le schéma électronique. Que MS fasse pareil avec MSIE6, on pourra voir comment c'est fichu
THX > Juste mon avis, secunia est un site de sécurité. Ils ont une cellule permettant de rechercher des vuln, ils sortent leurs propres avis (en plus d'en relayer) et pour les pratiquer depuis un certain temps ... ce sont loin mais loin d'etre des manches, au contraire.
Possible, nous allons voir ce que donne cette faille "extrement critique" et quels sites vont en parler
Possible, nous allons voir ce que donne cette faille "extrement critique" et quels sites vont en parler
arff bah juste que K-Otik, Le CERT Australien, le SANS et d'autres en parlent en indiquant la même sévérité
il sort quand de correctif de sécurité de XP ?
il sort quand de correctif de sécurité de XP ?
Ca s'appelle le SP2 !!
il sort quand de correctif de sécurité de XP ?
Le 9 novembre 2004, Mozilla Firefox 1.00
Et perso, Firefox 1.00RC1 ... et ça pootre les ours !
c'est dommage qu'il faille ce genre de new pour convaincre les utilisateur de passer au SP2.
Quand a celui qui demande pourquoi sur le SP2 la faille ne fonctionne pas, je lui souhaite une bonne relecture de tous les new sur le SP2.
toujours en sp1
j'utilise le SP2 depuis sa sortie... Cela n'a pas du tout impacter mon fonctionnement habituel (MMORPG, jeux, internet, messagerie, MSN). Le SP2 n'est pas la calamité annoncé. Si vous pouver le mettre n'hésiter pas.
bah jvais l'footre alors
Le SP2 intègre une protection de la pile donc les dépassements de buffer ne peuvent permètre d'executer du code, mais attention il existe quand même des attaques possibles (attaque par retour dans la libc)
Moi aussi en SP1 mais avec FFox
J'ai viré le SP2 car il limite le nombre de connexions et surtout il a une activité dans le réseau asez bizarre...
et pour tous les utilisateurs ou les boites ayant 2000 par exemple (ba oui tout le monde n'a pas XP), c'est pas une faille critique qui merite d'etre signalee peut etre ?
C'est dingue de voir qu'il y a des gens qui ont le temps de trouver ce genre de faille... c'est quand même super recherché comme méthode...
[QUOTE]Le problème concerne la balise IFRAME permettant d'afficher une page dans une autre. En effet, un utilisateur malintentionné pourrait dissimuler du code malicieux après avoir provoqué un dépassement de tampon dans les attributs SRC et NAME de cette balise à l'aide de très longues chaînes de caractères.
[/QUOTE]
Ahh si l'énergie de tous ces gens était dépensée dans l'amélioration de notre cadre de vie..
Moi aussi en SP1 mais avec FFox
J'ai viré le SP2 car il limite le nombre de connexions et surtout il a une activité dans le réseau asez bizarre...
Cette limite peut etre retirée avec ça :
EvID4226Patch.exe
http://www.pc-boost.com/4226.htm
Cette limite peut etre retirée avec ça :
EvID4226Patch.exe
http://www.pc-boost.com/4226.htm
Merci, reste plus qu'à savoir ce que le SP2 fait dans le réseau, et je le remets.
C'est dingue de voir qu'il y a des gens qui ont le temps de trouver ce genre de faille... c'est quand même super recherché comme méthode...
[QUOTE]Le problème concerne la balise IFRAME permettant d'afficher une page dans une autre. En effet, un utilisateur malintentionné pourrait dissimuler du code malicieux après avoir provoqué un dépassement de tampon dans les attributs SRC et NAME de cette balise à l'aide de très longues chaînes de caractères.
[/QUOTE]
Ahh si l'énergie de tous ces gens était dépensée dans l'amélioration de notre cadre de vie..
Ces gens la emploient leurs énergies pour améliorer nos softs. Peut être indirectement quant il s'agit d'un 0-Day (comme dans ce cas) mais là on n'a pas non plus affaire à un black-hat qui en veut à nos machines.
Il aurait très bien pu suivre le guide du bon white-hat en contactant MS sur la vuln et suivre la période de non divulgation mais entre nous, mieux vaut un bon 0-Day permettant des exploitations de n'importent où pour faire bouger les choses, et rapidement à 1 semaine du /MS/Patch/-Day. Ca apporte juste qu'il faut serrer les fesses et utiliser des alternatives
Quant aux personnes en générale qui trouvent des vulns, il y en a une tétrachier que l'on ne soupçonne même pas. Il y en a même dont leur spécialité sont les failles sur les jeux (Quake 2 vu la semaine derniere par ex). On trouve de tout et n'importe quoi dans la recherche des vulns.
c'est dommage qu'il faille ce genre de new pour convaincre les utilisateur de passer au SP2.
Quand a celui qui demande pourquoi sur le SP2 la faille ne fonctionne pas, je lui souhaite une bonne relecture de tous les new sur le SP2.
Tu réfléchis un peu avant de sortir des c*nn*ries pareilles ?
Tu y penses un peu aux gens qui n'ont PAS ENVIE de passer à XP (oui, personnellement je n'ai pas envie de m'installer un OS encore plus gros, avec encore plus de joujous à la con, d'options toutes autant délirantes les unes que les autres, et j'en passe et des meilleures...)
Sans compter ça :
et pour tous les utilisateurs ou les boites ayant 2000 par exemple (ba oui tout le monde n'a pas XP), c'est pas une faille critique qui merite d'etre signalee peut etre ?
Oui, parce que les boîtes qui tournent sous 2000 ce n'est pas rare, même que parfois on a la CHANCE d'avoir 2000 pour développer parce que les environnements ne sont plus fait pour WinNT !!!
c'est dommage qu'il faille ce genre de new pour convaincre les utilisateur de passer au SP2.
Quand a celui qui demande pourquoi sur le SP2 la faille ne fonctionne pas, je lui souhaite une bonne relecture de tous les new sur le SP2.
Merci, je te ferais juste remarquer que tout le monde ne passe pas au SP2 à cause de problèmes que celui ci peut causer.
j'utilise le SP2 depuis sa sortie... Cela n'a pas du tout impacter mon fonctionnement habituel (MMORPG, jeux, internet, messagerie, MSN). Le SP2 n'est pas la calamité annoncé. Si vous pouver le mettre n'hésiter pas.
Merci de ne pas prendre ton cas pour une généralité. Suivant l'ordinateur, les drivers et les softs que chacun utilise, le SP2 peut se traduire par tout qui marche nickel ou par un ordinateur totalement inutilisable.
Va sur les forums et tu verra que de nombreux utilisateurs l'ont désinstallé suite à des dysfonctionnement.
ouah je vois que vous êtes toujours aussi chaud a propos du SP2
....maintenant je donne mon avis et je n'impose rien a personne alors keep cool et inutile de devenir grossier.... 
Maxxyme tu dit "Tu y penses un peu aux gens qui n'ont PAS ENVIE de passer à XP (oui, personnellement je n'ai pas envie de m'installer un OS encore plus gros, avec encore plus de joujous à la con, d'options toutes autant délirantes les unes que les autres, et j'en passe et des meilleures...) "
je disais la meme chose que toi avant de passer sous XP....eh bien je ne suis pas pret de revenir sous 2000. Et avec les machines qu'on a actuellement il n'y a aucune honte a utiliser XP....
(au passage j'ai du m'eviter des soucis en reinstallant completement mon systeme avant de passer au SP2)