Tech

Faille non corrigée dans Internet Explorer

ActualitéClassé sous :Internet , Internet Explorer , faille

-

Cela fait déjà un certain temps qu'on s'était aperçu que les opérations de glisser-déposer (drag and drop) dans Internet Explorer pouvaient être exploitées pour permettre l'installation involontaire de programmes nocifs. À la suite de ces constatations Microsoft a imposé un certain nombre de contraintes très strictes à ces opérations, ce qui a verrouillé jusqu'à récemment toutes les possibilités connues d'infection par ce mécanisme.

Logo d'Internet Explorer

Malheureusement il a été découvert une nouvelle possibilité d'exploiter à des fins nocives le glisser-déposer. Il fallait pour cela faire preuve d'une belle imagination et le mécanisme est complexe. Schématiquement il repose sur la création d'une fenêtre pop-under (qui s'ouvre cachée sous la fenêtre principale du navigateur et ne peut pas être bloquée par le mécanisme de blocage des popups). Pour que le piège fonctionne, il faut que le focus soit donné temporairement à cette fenêtre puis repasse sur la fenêtre principale. Ces changements de focus doivent être synchronisés avec l'action de "glisser" de l'utilisateur. Ceci se fait en exploitant la fonction mouseOver et en déclenchant une temporisation qui redonne le focus à la fenêtre principale au bout d'un délai estimé compatible avec la durée probable de l'opération par l'utilisateur.

C'est dire que le piège n'a qu'une certaine probabilité de fonctionner, mais s'il fonctionne une opération aussi simple que l'utilisation d'une barre de défilement pourrait le déclencher.

La première mauvaise nouvelle, c'est que cette faille est connue de Microsoft depuis le 3 août 2005 et qu'aucun correctif n'est prévu avant le service pack 3 de XP ou le service pack 2 de Windows Server 2003. Et rien n'est prévu pour Windows 2000.

La deuxième mauvaise nouvelle est que toutes les modifications de réglage destinées à empêcher ou au moins limiter le risque, conduisent à des restrictions plus ou moins désagréables de certaines fonctionnalités de la navigation. La seule chose simple qu'on peut conseiller, c'est de n'utiliser Internet Explorer que sur des sites de confiance et un autre navigateur si on part à l'aventure en butinant de site en site. Toutefois le risque est sensiblement réduit si on utilise Internet Explorer avec des droits limités, ce qui est le cas si on le lance par l'intermédiaire du programme DropMyRight.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi