Une nouvelle faille dans Firefox et cie

[pub]]Une nouvelle faille de sécurité a été découverte dans certains navigateurs Web. Cette faille est liée à l’IDN (International Domain Name) qui est parfois mal implémenté. Ainsi, certains caractères spéciaux ne sont parfois pas affichés correctement dans le navigateur. Le site Secunia nous propose sur cette page un test pour illustrer cette faille. Il permet de faire afficher l’adresse “www.paypal.com” dans le navigateur alors que l’on reste bien sur le site de Secunia. Dès lors on imagine que des personnes mal intentionnées peuvent créer, par exemple, des copies de sites de banque qui afficherait une adresse correcte dans le navigateur mais qui serait en réalité hébergé à une toute autre adresse.

Cette faille peut donc être exploitée pour procéder à des attaques par spoofing (usurpation par un utilisateur d’une adresse IP, afin de se faire passer pour la machine à laquelle cette adresse correspond) ou par phising (consiste à créer des copies de sites de confiance pour récuperer des informations confidentielles comme des numéros de cartes bancaires). Les navigateurs concernés par cette faille sont les suivants :

  • Mozilla 1.7.5 et inférieures
  • Firefox 1.0 et inférieures
  • Safari version 1.2.4 (v125.1) et inférieures
  • Opera version 7.54u2 et inférieures
  • OmniWeb version 5.1 et inférieures
  • Konqueror version 3.2.2 et inférieures

Il est possible de désactiver la prise en charge de l’IDN en tapant dans le navigateur “about:config” et de remplacer la valeur “true” de la clé “idn” par “false”. En attendant un éventuel patch, il est conseillé de désactiver l’idn ou d’éviter d’accéder à des sites de confiance par des liens tiers trouvés sur des sites ou dans des emails suspects.

Lire cette news sur le site

Putain c’est chaud quand meme pour un utilisateur pas averti :frowning:

Effectivement ça règle le problème. Faudrait qu’elle soit sur false par défaut…
Page de test : http://www.shmoo.com/idn/

Heuuu excusez moi mais on trouve ou la clef IDN dans config? parce que je ne vois ecrit IDN nul part. Merci :stuck_out_tongue:

/troll on
j’ai beau chercher je ne vois pas IE dans la liste.
/troll off

bugsan > bah c’est normal, IE ne sait pas gêrer les noms IDN, donc il n’est pas concerné par cette faille :wink:

Source : http://www.shmoo.com/idn/homograph.txt

et en effet, IE n’est pas dans la liste de Verisign des navigateurs supportant l’IDN, CQFD :wink:

hu hu hu

Faille réglée soi-même en 2 secs.

En fait la clé s’appelle network.enableIDN

tiens les pro-Firefox sont bien discrets d’un seul coup… :smiley:

ou tout simplemetn taper IDN dans le champ filtre tout en haut :wink:

sinon c’est fort ça on “patch” soi-meme son navigateur :smiley:

Sauf que les registrar ne donnent pas les noms de domaine douteux. On s’interroge d’ailleurs comment quelqu’un a autorisé Secunia d’utiliser le nom de domaine similaire à Paypal. Faille de sécurité d’accord mais avant qu’elle ne soit exploitée…

Pas du tout… je suis pro-Firefox et bien qu’on est trouvé une faille…
…on a mis 2 secondes pour la régler !!!

On est pas rester un mois à attendre un pseudo-patch sur winupdate !!! :stuck_out_tongue:

C’est vrai ca, Firefox, c’est le premier navigateur ou on corrige une faille sans avoir fait d’update et sans casser tout les sites (genre desactivation Javascript …) …

[mode troll on]
Y sait faire ca IE ?
[/mode troll off]

y a rien à dire sur cette faille, demain elle est corrigée et on en parle plus :slight_smile:
c’est sur que les pro-firefox disent rien, si la faille était sur IE, on attendrait combien de temps avant correction ? :wahoo:

Si tu y tiens :pfff: :pfff:

[Troll on]
Perso, je ne suis pas un pro-Firefox mais je le préfère à IE, c’est tout.
[Troll off]

Mais en faisant le test, ça fait peur de voir qu’on peut se faire avoir comme ça.
Heureusement qu’il y a ue parade rapide [troll on] et pas besoin d’attendre pendant des semaines une éventuelle màj de micr…[troll off] :smiley:

Suptile le troll planqué dans un paragraphe… :wink:

ce qui est marrant (je viens de faire le test avec Firefox 1.0/linux et j’ai un waiting for www.xn-pypal-4ve.com

Demasquer le site la :stuck_out_tongue: (y marche plus ?)

Oui, mais la faille n’est pas réglée, on a désactivé une fonction et pas corrigé le problème

bon, je repasse sous IE alors :smiley: