Un patch officieux pour une faille d'Internet Explorer officielle ! Quand %01 s'invite dans votre URL !
- Plus de détails sur la faille :
On sait que %01 représente « espace », en html le lien s'écrit :
<a href="http://www.nomdulien.com"> lien qui apparaît dans le texte comme dans cet exemple</a>
Maintenant nous souhaitons créer un lien usurpé, nous savons que le code %01 mis dans l'url remplace l'espace, tandis que le symbole @ donne une direction, alors nous allons créer un faux lien suivi d'une armée d'espace pour décaler la commande de redirection « @ » et l'adresse réelle en dehors du champ de vision du navigateur comme dans cet exemple :
<a href="http://www.nomdusiteusurpe.com%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01%01@www.actudepoche.com">nomdusite dans le texte</a>
voici le lien précédemment écrit :
Nomdusite dans le texte
Donc si vous placer votre souris sur le lien, au bas à gauche l'adresse indiquée sera : www.nomdusiteusurpe.com mais si vous cliquez dessus, vous vous retrouverez sur www.actudepoche.com ! Cette faille est facile à mettre en application mais ne provoque cependant pas de réel danger sauf si elle est couplée avec d'autres failles comme des commandes activeX
Sur le site de Openware (http://www.openwares.org/index.php?option=com_remository&Itemid=&func=fileinfo&parent=folder&filecatid=17), vous pouvez télécharger une petite mise à jour qui palie à ce problème. Le fichier exécutable «Microsoft IE Security Patch » ne pèse que 268Ko et sa version « V3.0 » a été mise en ligne le 20 décembre 2003. Cependant, d'après le site : http://www.k-otik.com/news/12.22.IEFix.php ce patch corrigerait effectivement la dite faille mais provoquerait une faille pire puisqu'elle ouvre la voie à une vulnérabilité à la faille de type buffer overflow !
L'arrivée de développeurs indépendants dans le monde du correctif est une chose excellente mais attention à ne pas tomber dans un cercle où bloquer une faille tout en créant une seconde s'avère nécessaire Attention certains correctifs peuvent empêcher la mise à jour de MS-Internet Explorer !
Pour voir la mise en garde sur l'usurpation d'identité par Microsoft allez sur : http://support.microsoft.com/?id=833786
Les dernières publications
- Internet et loi, quels dispositions sont à prendre en compte pour un éditeur de site ?
9 650 clics - Défi aux pirates ! Craquez un programme informatique protégé et gagnez 32.768 euros
6 548 clics - La nouvelle version d'ALTOSPAM est disponible
6 517 clics - Traçabilité et anti-copie des produits de grande diffusion
5 662 clics - AltaRiver Spam Blocker est un nouveau logiciel pour protéger les adresses email sur les sites web, contre les robots de spam.
7 490 clics - Traçabilité et anti-copie des produits de grande diffusion
4 465 clics - Service antispam en marque blanche destiné aux revendeurs
4 150 clics - DOTEM : un système de marquage haute densité pour tracer les produits
4 277 clics - Nouvelle offre de filtrage Antivirus et Antispam Protecmail.
4 397 clics - Testez gratuitement la solution anti spam Altospam
3 985 clics