au sommaire
Logo d'Internet Explorer
Malheureusement il a été découvert une nouvelle possibilité d'exploiter à des fins nocives le glisser-déposer. Il fallait pour cela faire preuve d'une belle imagination et le mécanisme est complexe. Schématiquement il repose sur la création d'une fenêtrefenêtre pop-under (qui s'ouvre cachée sous la fenêtre principale du navigateur et ne peut pas être bloquée par le mécanisme de blocage des popups). Pour que le piège fonctionne, il faut que le focus soit donné temporairement à cette fenêtre puis repasse sur la fenêtre principale. Ces changements de focus doivent être synchronisés avec l'action de "glisser" de l'utilisateur. Ceci se fait en exploitant la fonction mouseOver et en déclenchant une temporisation qui redonne le focus à la fenêtre principale au bout d'un délai estimé compatible avec la duréedurée probable de l'opération par l'utilisateur.
C'est dire que le piège n'a qu'une certaine probabilité de fonctionner, mais s'il fonctionne une opération aussi simple que l'utilisation d'une barre de défilement pourrait le déclencher.
La première mauvaise nouvelle, c'est que cette faille est connue de MicrosoftMicrosoft depuis le 3 août 2005 et qu'aucun correctif n'est prévu avant le service packpack 3 de XP ou le service pack 2 de Windows Server 2003. Et rien n'est prévu pour Windows 2000.
La deuxième mauvaise nouvelle est que toutes les modifications de réglage destinées à empêcher ou au moins limiter le risque, conduisent à des restrictions plus ou moins désagréables de certaines fonctionnalités de la navigation. La seule chose simple qu'on peut conseiller, c'est de n'utiliser Internet Explorer que sur des sites de confiance et un autre navigateur si on part à l'aventure en butinant de site en site. Toutefois le risque est sensiblement réduit si on utilise Internet Explorer avec des droits limités, ce qui est le cas si on le lance par l'intermédiaire du programme DropMyRight.
par Jean-Pierre Louvet et Paul Dropsy, Futura
le 20 février 2006
