Alerte : un nouveau bug dans IE7 ouvrirait la porte aux phishers

Les gardes anti-phishing de IE7 ont peut-être d’autres chats à fouetter

Il y a comme un vent de panique qui souffle sur l’éditeur de Redmond et particulièrement sur son navigateur « hyper sécurisé » Internet Explorer 7.

Un développeur israélien répondant au nom d’Aviv Raff a annoncé sur son blog avoir découvert un bug dans IE7 ouvrant littéralement la porte aux « hameçonneurs », ces pirates qui ont pour spécialité les attaques de phishing.

Concrètement, d’après le chercheur, un attaquant peut utiliser un message d’erreur de IE7 pour renvoyer les surfeurs de la Toile sur de faux sites copiant soigneusement les originaux. Principalement les URL des banques.

Pour l’instant, Microsoft en est encore à l’étude de cette vulnérabilité. Un porte-parole de l’éditeur a ainsi déclaré : « Microsoft n’a pas été informé de l’utilisation de ce bug pour mener des attaques. »

La vulnérabilité dénoncée par Raff concerne donc le message d’erreur affiché par IE7 lorsque ce dernier n’arrive pas à localiser un site internet. Un attaquant peut utiliser ce message en y incorporant un lien vers une fausse page Web contenant un code malveillant.

Les versions d’IE7 pour Windows Vista et Windows XP sont touchées.