Une faille vieille de six ans découverte dans Explorer

La vulnérabilité permet de ‘spoofer’ le contenu de sites web pour induire en erreur l’internaute. Venant du Canada, une autre faille autorise l’installation d’un cheval de Troie qui enregistre certaines données personnelles. Le cauchemar s’arrêtera-t-il un jour?

A peine remis du très malicieux code Scob, Microsoft doit déjà faire face à de nouvelles vulnérabilités dans son navigateur Internet Explorer. L’application collectionne les failles et les attaques à un rythme effréné depuis quelques mois.

Révélée par http-equiv et relayée par Secunia, la première faille serait vieille de six ans! Six ans sans que personne ne s’en rende compte! La faille pourrait être exploitée par un site malicieux afin de tromper un internaute en utilisant la technique désormais célèbre du spoofing. Elle touche Internet Explorer 5.01, 5.5 et 6.0. En effet, Internet Explorer n’empêche pas le chargement, par un site malicieux, d’un contenu arbitraire dans une iframe. Ce qui pourrait être exploité afin d’injecter et spoofer le contenu d’une page malicieuse et lui donner l’apparence d’un site de confiance. En clair, un internaute qui surferait sur une page apparamment connue pourrait en fait consulter une page contrôlée par un pirate. Une faille autorisant le spoofing avait déjà été corrigée dans le bulletin de sécurité MS98-020 pour IE 3 et 4. Mais pour cette vulnérabilité vieille de six ans, aucune solution n’est encore disponible. A part celle, de plus en plus évoquée, d’encourager les utilisateurs à changer de navigateur… Une deuxième vulnérabilité dans IE a également été découverte par l’Internet Storm Center. Elle permet le téléchargement d’un cheval de Troie qui surveille ensuite la navigation et capture toutes les frappes au clavier (avant leur cryptage) lors de visites sur des sites de banques localisées notamment au Canada. Le Troyan est téléchargé sans avertissement sous la forme d’un fichier GIF («img1big.gif») qui, contrairement à ce qu’indique son extension, n’est pas une image mais plutôt deux exécutables compressés, dont un fichier DLL. Une fois encore, Explorer est au centre de la tourmente. Nos confrères de Vulnerabilites.com font un constat alarmant: à l’aide de la base publique CVE (Common Vulnerability Exposure) ont été dénombrés le nombre de vulnérabilités pour chaque navigateur. Internet Explorer détient le triste record de 235 vulnérabilités découvertes, Mozilla a été touché seulement 15 fois, Opéra et Netscape Navigator respectivement 14 et 7 fois. Sans commentaire. Pour autant, il semble logique que les pirates s’attaque à IE puisque le fureteur équipe 90% des PC dans le monde. Si un jour les logiciels concurrents prennent plus de poids, il est quasi certain que nombre de failles seront découvertes et exploitées sur ces derniers, ce qui pourrait soulager d’autant IE.