Actualité libre de droit
- 2068 clics -

Un patch officieux pour une faille d'Internet Explorer officielle ! Quand %01 s'invite dans votre URL !

Quand la communauté des développeurs libre de droit décide de réparer un logiciel propriétaire, c'est Monsieur Microsoft qui va être content de ne pas avoir à développer de mise à jour et mécontent de voir son incapacité à résoudre ses propres problèmes... Mais la réalité est encore tout autre : Cette fameuse mise à jour est un petit programme qui corrige une faille connue de Microsoft. Cette faille consiste en des pages web créées par un webmaster malveillant et créant des liens hypertextes (les liens que vous cliquez) avec une adresse différente de celle affichée en bas à gauche de votre navigateur. Par exemple, passez votre souris sur un lien et regardez sur la barre, vous verrez l'adresse apparaître. Cependant, en écrivant dans la source des caractères trompeurs tels que "%01", "%00" qui représentent des caractères comme espace, et que vous exploitez "@" pour rediriger la requête sur une deuxième adresse, vous pouvez donc usurper l'identité !



- Plus de détails sur la faille :

On sait que %01 représente « espace », en html le lien s'écrit :


<a href="http://www.nomdulien.com"> lien qui apparaît dans le texte comme dans cet exemple</a>


Maintenant nous souhaitons créer un lien usurpé, nous savons que le code %01 mis dans l'url remplace l'espace, tandis que le symbole @ donne une direction, alors nous allons créer un faux lien suivi d'une armée d'espace pour décaler la commande de redirection « @ » et l'adresse réelle en dehors du champ de vision du navigateur comme dans cet exemple :



<a href="http://www.nomdusiteusurpe.com%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01@www.actudepoche.com">nomdusite dans le texte</a>

voici le lien précédemment écrit :


Nomdusite dans le texte


Donc si vous placer votre souris sur le lien, au bas à gauche l'adresse indiquée sera : www.nomdusiteusurpe.com mais si vous cliquez dessus, vous vous retrouverez sur www.actudepoche.com ! Cette faille est facile à mettre en application mais ne provoque cependant pas de réel danger sauf si elle est couplée avec d'autres failles comme des commandes activeX



Sur le site de Openware (http://www.openwares.org/index.php?option=com_remository&Itemid=&func=fileinfo&parent=folder&filecatid=17), vous pouvez télécharger une petite mise à jour qui palie à ce problème. Le fichier exécutable «Microsoft IE Security Patch » ne pèse que 268Ko et sa version « V3.0 » a été mise en ligne le 20 décembre 2003. Cependant, d'après le site : http://www.k-otik.com/news/12.22.IEFix.php ce patch corrigerait effectivement la dite faille mais provoquerait une faille pire puisqu'elle ouvre la voie à une vulnérabilité à la faille de type buffer overflow !


L'arrivée de développeurs indépendants dans le monde du correctif est une chose excellente mais attention à ne pas tomber dans un cercle où bloquer une faille tout en créant une seconde s'avère nécessaire… Attention certains correctifs peuvent empêcher la mise à jour de MS-Internet Explorer !



Pour voir la mise en garde sur l'usurpation d'identité par Microsoft allez sur : http://support.microsoft.com/?id=833786

Laissez votre commentaire à propos de cet article

Securité / Hacking

  1. 29 Sept. 2015Internet & loi, quels dispositions sont à prendre en compte pour un éditeur de site ?3171 clics
  2. 15 Fév. 2007Défi aux pirates ! Craquez un programme informatique protégé et gagnez 32.768 euros3026 clics
  3. 15 Sept. 2006La nouvelle version d'ALTOSPAM est disponible2871 clics
  4. 26 Fév. 2006Traçabilité et anti-copie des produits de grande diffusion2229 clics
  5. 25 Fév. 2006AltaRiver Spam Blocker est un nouveau logiciel pour protéger les adresses email sur les sites web, contre les robots de spam.3545 clics
  6. 14 Fév. 2006Traçabilité et anti-copie des produits de grande diffusion2811 clics
  7. 9 Fév. 2006Service antispam en marque blanche destiné aux revendeurs2479 clics
  8. 27 Janv. 2006DOTEM : un système de marquage haute densité pour tracer les produits2565 clics
  9. 7 Oct. 2004Nouvelle offre de filtrage Antivirus et Antispam Protecmail.2644 clics
  10. 25 Sept. 2004Testez gratuitement la solution anti spam Altospam2266 clics
  11. 17 Sept. 2004Concernant les Hoax2707 clics
  12. 9 Sept. 2004VirusKeeper 2005: la détection intelligente des virus et logiciels espions2457 clics
  13. 30 Août 2004Yapuka : Retirer le mot de passe Bios3526 clics
  14. 30 Août 2004Le SPAM téléphonique ! Une arnaque qui pourrait vous coûter cher.2657 clics
  15. 30 Août 2004Faille dans Word 2000 / XP, un mot de passe contre les modifications inutile !2178 clics
  16. 25 Août 2004Hoax : Mme MARIAM KONE2613 clics
  17. 25 Août 2004Hoax : M. Salif Sinare2241 clics
  18. 14 Août 2004Pfizer poursuit en justice des pharmacies en ligne illégitimes pour contrer l'épidémie de spam2300 clics
  19. 14 Août 2004Le nouveau ver MyDoom-Q utilise le moteur de recherche de Yahoo pour trouver de nouvelles adresses cibles2029 clics
  20. 9 Août 200430 failles en attente de corrections pour Oracle depuis janvier dernier !2152 clics
  21. 4 Août 2004Singapore ouvre le Hacking Contest Seras-tu capable de rivaliser avec les meilleurs2304 clics
  22. 4 Août 2004MyDoom.Q utilise Yahoo Search pour se trouver des amis Tu veux être mon ami ?1865 clics
  23. 4 Août 2004Juin, Juillet et Decembre : Les mois préférés des virus ?2064 clics
  24. 3 Août 2004MyDoom.O lance de nouveau une DDoS contre Microsoft.com Mais ce n'est pas tout...1929 clics
  25. 31 Juil. 2004Internet Security Systems ouvre une agence à Lyon2035 clics
  26. 15 Juil. 2004Une faille sur Mozilla corrigée en moins de 24H1862 clics
  27. 10 Juil. 2004Altospam, une solution française performante de prévention et de lutte antispam2011 clics
  28. 10 Juil. 2004Hoax : M.Michel KOUASSI2427 clics
  29. 10 Juil. 2004Hoax : Steven Johnson, Jr.2173 clics
  30. 4 Juil. 2004MSIE : Il est temps de dire STOP ! Vous croyez être à l'abris ?2305 clics