supinfo
Ouverture de  SUPINFO USA à San Francisco en 2008. Des études en informatique en Californie à un tarif abordable ! Inscrivez-vous dès maintenant !
supinfo
Connexion :
Abonnement NewsletterOk
 

Une nouvelle faille dans Firefox et cie

Publiée par Vincent le Mardi 8 Fevrier 2005

Brève Windows

Une nouvelle faille de sécurité a été découverte dans certains navigateurs Web. Cette faille est liée à l'IDN (International Domain Name) qui est parfois mal implémenté. Ainsi, certains caractères spéciaux ne sont parfois pas affichés correctement dans le navigateur. Le site Secunia nous propose sur cette page un test pour illustrer cette faille. Il permet de faire afficher l'adresse "www.paypal.com" dans le navigateur alors que l'on reste bien sur le site de Secunia. Dès lors on imagine que des personnes mal intentionnées peuvent créer, par exemple, des copies de sites de banque qui afficherait une adresse correcte dans le navigateur mais qui serait en réalité hébergé à une toute autre adresse.

Cette faille peut donc être exploitée pour procéder à des attaques par spoofing (usurpation par un utilisateur d'une adresse IP, afin de se faire passer pour la machine à laquelle cette adresse correspond) ou par phising (consiste à créer des copies de sites de confiance pour récuperer des informations confidentielles comme des numéros de cartes bancaires). Les navigateurs concernés par cette faille sont les suivants :

- Mozilla 1.7.5 et inférieures
- Firefox 1.0 et inférieures
- Safari version 1.2.4 (v125.1) et inférieures
- Opera version 7.54u2 et inférieures
- OmniWeb version 5.1 et inférieures
- Konqueror version 3.2.2 et inférieures

Il est possible de désactiver la prise en charge de l'IDN en tapant dans le navigateur "about:config" et de remplacer la valeur "true" de la clé "idn" par "false". En attendant un éventuel patch, il est conseillé de désactiver l'idn ou d'éviter d'accéder à des sites de confiance par des liens tiers trouvés sur des sites ou dans des emails suspects.
Actu précédente
Brève suivante
Idées shopping
LG MSB-100Enceintes pour téléphone portable
89,90 € 85,33 €

Top logiciels Utilitaires Windows pour téléphones et Smartphones

1 Nokia PC Suite
Transférer ses fichiers sur son portable Nokia
2 ToneShop
Créer des sonneries pour téléphone portable, dont l'iPhone
3 Nokia Software Updater
Mettez à jour le micrologiciel de votre mobile Nokia
4 Ultra Mobile 3GP Video Converter
Convertir vos vidéos pour vos appareils mobiles
5 SignSIS (version graphique)
<> vos applications Symbian S60
6 Remote S60 Professional
Prenez le contrôle d’un mobile Nokia ou Sony Ericsson depuis Windows
Suite du classement "Utilitaires Windows pour téléphones et Smartphones"
Les Commentaires des lecteurs
_
le 08 Févr. 05 à 13h24
Edition
 
Putain c'est chaud quand meme pour un utilisateur pas averti :(
 
le 08 Févr. 05 à 13h25
Edition
 
<!--=256439,0,1][nom]vincent a écrit-->
Il est possible de désactiver la prise en charge de l'IDN en tapant dans le navigateur "about:config" et de remplacer la valeur "true" de la clé "idn" par "false". En attendant un éventuel patch, il est conseillé de désactiver l'idn ou d'éviter d'accéder à des sites de confiance par des liens tiers trouvés sur des sites ou dans des emails suspects.

Effectivement ça règle le problème. Faudrait qu'elle soit sur false par défaut...
Page de test : http://www.shmoo.com/idn/
 
le 08 Févr. 05 à 13h32
Edition
 
Heuuu excusez moi mais on trouve ou la clef IDN dans config? parce que je ne vois ecrit IDN nul part. Merci :P
 
le 08 Févr. 05 à 13h35
Edition
 
/troll on
j'ai beau chercher je ne vois pas IE dans la liste.
/troll off
 
le 08 Févr. 05 à 13h37
Edition
 
bugsan > bah c'est normal, IE ne sait pas gêrer les noms IDN, donc il n'est pas concerné par cette faille ;) ...

Every recent gecko/khtml based browser implements IDN (which is just about every browser [4] except for IE; plug-in are available [5]).

Source : http://www.shmoo.com/idn/homograph.txt

et en effet, IE n'est pas dans la liste de Verisign des navigateurs supportant l'IDN, CQFD ;)
http://www.verisign.com/products-services/naming-and-directory-services/naming-services/internationalized-domain-names/page_002201.html#01000002
 
Contacter le membreVoir profil
667
le 08 Févr. 05 à 13h37
Edition
 
<!--=256454,0,5][nom]bugsan a écrit-->
/troll on
j'ai beau chercher je ne vois pas IE dans la liste.
/troll off

hu hu hu
 
le 08 Févr. 05 à 13h38
Edition
 
Faille réglée soi-même en 2 secs.
 
le 08 Févr. 05 à 13h39
Edition
 
<!--=256452,0,4][nom]elfloflo a écrit-->
Heuuu excusez moi mais on trouve ou la clef IDN dans config? parce que je ne vois ecrit IDN nul part. Merci :P

En fait la clé s'appelle network.enableIDN
 
le 08 Févr. 05 à 13h43
Edition
 
tiens les pro-Firefox sont bien discrets d'un seul coup.... :D
 
le 08 Févr. 05 à 13h46
Edition
 
<!--=256461,0,9][nom]asbel a écrit-->
En fait la clé s'appelle network.enableIDN


ou tout simplemetn taper IDN dans le champ filtre tout en haut ;)

sinon c'est fort ça on "patch" soi-meme son navigateur :D
 
le 08 Févr. 05 à 13h47
Edition
 
Sauf que les registrar ne donnent pas les noms de domaine douteux. On s'interroge d'ailleurs comment quelqu'un a autorisé Secunia d'utiliser le nom de domaine similaire à Paypal. Faille de sécurité d'accord mais avant qu'elle ne soit exploitée...
 
le 08 Févr. 05 à 13h47
Edition
 
<!--=256465,0,10][nom]calimero03 a écrit-->
tiens les pro-Firefox sont bien discrets d'un seul coup.... :D

Pas du tout... je suis pro-Firefox et bien qu'on est trouvé une faille...
..on a mis 2 secondes pour la régler !!!

On est pas rester un mois à attendre un pseudo-patch sur winupdate !!!! :p
 
le 08 Févr. 05 à 13h48
Edition
 
C'est vrai ca, Firefox, c'est le premier navigateur ou on corrige une faille sans avoir fait d'update et sans casser tout les sites (genre desactivation Javascript ..) ...

[mode troll on]
Y sait faire ca IE ?
[/mode troll off]
 
le 08 Févr. 05 à 13h48
Edition
 
y a rien à dire sur cette faille, demain elle est corrigée et on en parle plus :)
c'est sur que les pro-firefox disent rien, si la faille était sur IE, on attendrait combien de temps avant correction ? :wahoo:
 
le 08 Févr. 05 à 13h49
Edition
 
<!--=256465,0,10][nom]calimero03 a écrit-->
tiens les pro-Firefox sont bien discrets d'un seul coup.... :D


Si tu y tiens :pfff: :pfff:

[Troll on]
Perso, je ne suis pas un pro-Firefox mais je le préfère à IE, c'est tout.
[Troll off]

Mais en faisant le test, ça fait peur de voir qu'on peut se faire avoir comme ça.
Heureusement qu'il y a ue parade rapide [troll on] et pas besoin d'attendre pendant des semaines une éventuelle màj de micr..[troll off] :D

 
le 08 Févr. 05 à 13h51
Edition
 
Suptile le troll planqué dans un paragraphe... ;)
 
le 08 Févr. 05 à 13h51
Edition
 
ce qui est marrant (je viens de faire le test avec Firefox 1.0/linux et j'ai un waiting for www.xn-pypal-4ve.com ....

Demasquer le site la :p (y marche plus ?)
 
le 08 Févr. 05 à 13h52
Edition
 
<!--=256457,0,8][nom]Jaspion88 a écrit-->
Faille réglée soi-même en 2 secs.

Oui, mais la faille n'est pas réglée, on a désactivé une fonction et pas corrigé le problème
 
le 08 Févr. 05 à 13h54
Edition
 
bon, je repasse sous IE alors :D
 
Continuer sur le forum
80 messages
1
2
3
4
>
page 5 >>
 
 
Clubic.com
 
Achetez-facile.com
 
Jeuxvideo.fr
 
neteco.com
 
mobinaute.com