Une faille IDN découverte dans Firefox... et d'autres
Une vulnérabilité a été identifiée dans certains explorateurs web, elle pourrait être exploitée par des sites malicieux dans le but de exécuter des attaques par spoofing
(technique permettant à un pirate d'envoyer à une machine des paquets semblant provenir d'une autre adresse IP que celle de la machine du pirate) ou phishing
(terme désignant l'obtention d'informations confidentielles telles que les mots de passe, en se faisant passer pour quelqu'un digne de confiance).Le problème résulte d'une erreur présente au niveau de l'implémentation de l’IDN (International Domain Name), qui n'interprète pas convenablement certaines URLs forgées contenant des caractères spécieux, ce qui pourrait permettre le spoofing des URLs présentes dans la barre d'adresses ou de certains certificats SSL. L'exemple donné par shmoo est le suivant:
http://www.pаypal.com
affichera dans la barre d'adresses l'URL : http://www.paypal.com
(celle désirée), mais pointera en réalité vers le l’adresse http://www.xn--pypal-4ve.com
. Le navigateur devient donc vulnérable.Pour le moment seuls certains
navigateurs sont susceptibles de subir une attaque
: - Mozilla 1.7.5 et inférieures
- Firefox 1.0 et inférieures
- Opera version 7.54u2 et inférieures
- Safari version 1.2.4 (v125.1) et inférieures
- OmniWeb version 5.1 et inférieures
- Konqueror version 3.2.2 et inférieures
Aucune solution officielle n’a été trouvée, et aucun patch ne corrige l’erreur. Il est cependant important de noter que pour une fois, Microsoft Internet Explorer n'est pas vulnérable à cette attaque, car il n'implémente par l'IDN.
Shmoo à mis en oeuvre une page de test avec l"exemple suscité.
Mise à jour:
il semble que chez certaines personnes, on puisse résoudre le problème en désactivant l'IDN sur les navigateurs Gecko (Mozilla, Firefox, Galeon, Epiphany, etc.) :- saisissez "about:config" dans la barre d'adresse
- tapez "idn" dans le filtre
- double-cliquez sur la valeur
- remplacez true par false
121
Commentaires
Le Cell se dévoile petit à petit
- Benchmarks 64 bits : AMD aurait triché ?
- Envoi de SMS vers Skype
- Suite de l'affaire AOL sur le Spam
- Washington lutte contre les jeux vidéos violents
- ABIT annonce des résultats record pour 2004
- Poker : la nouvelle donne de l'Internet
- Présentation du premier dual-core Intel
- Fujitsu vend ses écrans LCD à Sharp
- Gigabyte et Sapphire annoncent de nouvelles Radeons
L'Europe contre les spams !
- Test du baladeur MP3 IRiver H10
- Test du boitier MaxInPower Briza B952
- Le pont Rialto prend la pose
- GoogleFight fait peau neuve
- Google accusé d'héberger des racistes au Brésil
- Paris va passer à Linux... mais en douceur
- Longhorn : le beta test débutera en juin
- Intel crée un transistor consommant dix fois moins
- Des photos de 4 gigapixels
Liens commerciaux
Publicité
Dernières actus
A voir aussi
Actus et dossiers
Ha ben bravo
Voilà un truc bien pensé, ça madame 
Lynx non plus n'est pas affecté, au fait![[:lol2]](http://img.infos-du-net.com/forum/images/perso/lol2.gif)
C'est bien la première fois que je peux troller en tout légalité
FF sux 
Plus sérieusement, IE n'implémente pas la feature donc bon... il s'en tire pas avec les honneurs non plus.
Le titre raccoleur est franchement désinformateur.
En réalité il ne s'agit pas d'une faille de FireFox, mais d'une faille dans le système IDN. Tous les navigateurs sont touchés (Firefox et Mozilla, mais aussi tous les autres comme Opera) parce qu'il ne s'agit pas d'un bug mais d'un problème découlant d'une norme.
Pour une fois, IE est épargné. Non pas parce qu'il est bien programmé mais parce qu'il n'implémente pas IDN.
En ce qui concerne le patch, il est aussi désinformateur et érronné de dire que l'équipe de FireFox ne prévoit aucun correctif. Le problème c'est evidement que ce n'est pas aussi simple, justement parce que ce n'est pas un simple bug de FireFox mais bien un problème relatif a un standard (ce qui rends la solution moins evidente). L'ennui c'est que cela demandera certainement reflexion pour savoir comment ce problème devra être traité.
Nous pouvons, je pense, compter sur l'équipe de FireFox pour règler au plus vite ce problème.
En attendant il suffit pour ne pas se faire piéger de ne pas accéder au site EBay (ou d'autres) en cliquant sur un lien pris au hasard sur le net mais plutot en tapant l'URL ou en utilisant ses bookmarks.
au moins on peut pas se faire avoir avec IE
Vite je vire mon firefox pour ré-installer IE.... Nan je deconne.
au moins on peut pas se faire avoir avec IE
Tu en est vraiment sûr ?
Le titre raccoleur est franchement désinformateur.
En réalité il ne s'agit pas d'une faille de FireFox, mais d'une faille dans le système IDN. Tous les navigateurs sont touchés (Firefox et Mozilla, mais aussi tous les autres comme Opera) parce qu'il ne s'agit pas d'un bug mais d'un problème découlant d'une norme.
Pour une fois, IE est épargné. Non pas parce qu'il est bien programmé mais parce qu'il n'implémente pas IDN.
En ce qui concerne le patch, il est aussi désinformateur et érronné de dire que l'équipe de FireFox ne prévoit aucun correctif. Le problème c'est evidement que ce n'est pas aussi simple, justement parce que ce n'est pas un simple bug de FireFox mais bien un problème relatif a un standard (ce qui rends la solution moins evidente). L'ennui c'est que cela demandera certainement reflexion pour savoir comment ce problème devra être traité.
Nous pouvons, je pense, compter sur l'équipe de FireFox pour règler au plus vite ce problème.
En attendant il suffit pour ne pas se faire piéger de ne pas accéder au site EBay (ou d'autres) en cliquant sur un lien pris au hasard sur le net mais plutot en tapant l'URL ou en utilisant ses bookmarks.
Ahaha, on sait tous tres bien que Firefox ca rox et ie sux, y a pas besoin d'un paté (a peine raccoleur d'ailleur
le spoofing existait déjà dans IE par une autre méthode non?
Ouned !
Tu en est vraiment sûr ?
oui oui
Je cite : "This works in everything except IE (ha!)"
m'enfin ca n'enlèvera pas la brouette de patch / mois
Vite je vire mon firefox pour ré-installer IE.... Nan je deconne.
mince, faut que je resorte le minitel
toujours sur amiga OS toi
toujours sur amiga OS toi
Par contre, j'ai testé Firefox sous BeOs
En fait, en une soirée, j'ai téléchargé 20 Go d'ISO Linux / BeOS / FreeBSD ...
T'a du chemin à faire pour sortir du nerdisme toi
T'a du chemin à faire pour sortir du nerdisme toi
Je sais ...
Aller, d'ailleurs, je vais me coucher de ce pas ...
Bonne nuit les gens
(et bon surf avec FireFox
Si vous voulez, le même site explique comment désactiver l'IDN sous FF (et Mozilla ?) :
http://www.boingboing.net/2005/02/ [...] loit_.html
Est-il nécessaire de mettre à jour la news ?
[HS]
.
(meme pas peur: mon firewall Linux arrete tout ![[:casimir59]](http://img.infos-du-net.com/forum/images/perso/casimir59.gif)
).
Bonne nuit Francky
[HS]
Au fait je suis sous Mozilla
J'ai Konqueror 3.3.2 donc c'est deja corrigé le bug
C'est pas con, ils ont simplement réservé un nom de domaine paypal.com en remplaçant le "a" latin (unicode #97) par un "a" cyrillique (unicode #1072).
Les deux "a" ont la même apparence, mais ne correspondent pas au même caractère. et donc le paypal.com cyrillique pointe vers une autre adresse.
C'est pas une faille, c'est comme ça. Il n'avaient qu'à y réfléchir avant d'autoriser les noms de domaine internationaux...
J'ai Konqueror 3.3.2 donc c'est deja corrigé le bug
Je veux pas te décevoir, mais konqueror 3.3.2 affiche la même chose que tout le monde. (testé sur Debian Sid). Et heureusement, parce que ça voudrait dire qu'il ne sait pas afficher du cyrillique. Il n'y a donc pas de bug : le bug aurait été qu'un navigateur ne puisse pas afficher le paypal.com cyrillique.
Le seul début de solution que je vois est de mettre un avertissement lorsque l'ensemble des caractères d'une URL n'appartient pas à un même sous-ensemble unicode. Ex : si l'URL contient des caractères cyrilliques ET des caractères latins, alors il faut afficher un message d'avertissement au phishing. Mais ça ne marche pas à tous les coups. Pour une adresse du type aaa.com, comment savoir s'il s'agit de "a" cyrilliques ou de "a" latin ?
Et pardon, mais même sous IE on peut constater le probleme, à condition d'installer le plugin i-Nav™ : http://www.idnnow.com/index.jsp?lang=fr
Pour désactiver ça rapidement sur les navigateurs Gecko (Mozilla, Firefox, Galeon, Epiphany, etc.) :
1) tapez "about:config" dans la barre d'adresse
2) tapez "idn" dans le filtre
3) double-cliquez sur la valeur
4) remplacez true par false
ccomb > peut-on désactiver IDN sans bloquer certaines capacités de surf de FF.
sinon bravo pour vos posts interessants et utiles à toi et sr17.
L'extension spoostick ne sert à rien apparemment contre ce spoofing ?
euh pour l'exemple donné soit on rapporte en intégralité et c'est compréhensible soit on rapporte pas. mais là avec la moitié de la blague on rigole pas
(le newser a-t-il compris les détails de l'explication ?)
quezako> ca marche pas chez moi
je vais pas mettre a jour
quezako> ca marche pas chez moi
je vais pas mettre a jour
tás fermé et redémarré ton FF ?
ah ca marche
j'éditerais tout a l'heure
euh, moi, cette valeur est deja sur false (network.enableIDN)
sur firebird 0.7
?!?
Et pardon, mais même sous IE on peut constater le probleme, à condition d'installer le plugin i-Nav™ : http://www.idnnow.com/index.jsp?lang=fr
Pour désactiver ça rapidement sur les navigateurs Gecko (Mozilla, Firefox, Galeon, Epiphany, etc.) :
1) tapez "about:config" dans la barre d'adresse
2) tapez "idn" dans le filtre
3) double-cliquez sur la valeur
4) remplacez true par false
Testez et vous verrez
En gros faut faire à chaque fois la manip about:config, remettre à true puis encore à false pour que ce soit effectif (en supposant que c'était déjà à false).
En attendant le patch qui corrige ce (petit!) problème, je ne vois pas d'autres solutions que cette manip!
Mais que cette faille de l'IDN ne soit pas une raison pour certains de repasser pour le navigateur vermoulu de Crosoft...