Après une première alerte lancée en fin de semaine dernière au sujet d'une vulnérabilité qui ne touchait finalement pas Internet Explorer 7 mais Outlook Express, Secunia revient aujourd'hui avec la découverte d'une faille dont l'existence a été confirmée par Microsoft. Celle-ci n'a rien de critique, mais elle pourrait toutefois être mise à profit pour piéger un internaute peu attentif. « Nous sommes en train d'examiner cette question et comme toujours, une fois que nous aurons complété nos recherches, nous prendrons les mesures appropriées pour protéger nos clients », rassure Christopher Budd, responsable des programmes de sécurité au Microsoft Security Response Center.
Il serait possible de piéger un lien, sur un site Web ou dans le corps d'un email, pour que s'ouvre une fenêtre pop-up dont le titre évoque celui d'un site de confiance. Munie d'un formulaire à l'apparence officielle, cette fenêtre pourrait donc être utilisée pour récupérer des informations confidentielles auprès des internautes. La technique, couramment utilisée dans les attaques de type phishing, n'a rien de neuf : baptisée « spoofing », elle consiste à dissimuler la véritable adresse d'une page derrière un leurre. Secunia a reproduit la faille sur une page de test (anglais).
Christopher Budd précise qu'un site répertorié par Microsoft comme un site de phishing ne pourrait pas tirer profit de cette faille, car l'accès serait bloqué par le filtre anti-phishing d'Internet Explorer 7, et ajoute qu'aucune attaque menée par ce biais n'a encore été recensée. De plus, un simple clic dans la fenêtre pop-up ouverte suffirait à afficher automatiquement la véritable adresse de la page concernée. Les risques qu'un internaute se laisse piéger, en cas d'éventuelle attaque, sont donc minimes.
Depuis leur sortie respective, Internet Explorer 7 et Firefox 2 font tous deux l'objet d'un examen intensif, experts et amateurs mettant un point d'honneur à découvrir le plus rapidement possible failles et problèmes. Ainsi, une vulnérabilité qualifiée de critique a été remontée cette semaine jusqu'à au sujet de Firefox 2. La fondation a toutefois démenti l'existence de cette faille, qui date de précédentes versions du navigateur, en indiquant qu'elle était corrigée depuis plusieurs mois.