Le Lézard

Un correctif ne provenant pas de Microsoft


Un groupe de programmeurs «open source», exaspérés de constater que Microsoft ne réagissait pas à une faille de sécurité majeure dans son navigateur Internet Explorer, a décidé de créer sa propre rustine.



Personne n'a cependant voulu donner son approbation à ce correctif qui prétend éliminer une faille de sécurité importante dans le navigateur Internet, pas même Microsoft. Des analystes se demandent comment des gens peuvent avoir confiance en ce correctif qui a été créé par des programmeurs qui n'ont même pas accès au code source du navigateur.

Le correctif a été publié pour une première fois sur Openwares.org. Un autre site Internet, K-Otik, déconseille fortement l'installation de ce correctif qui rend Internet Explorer vulnérable à une attaque de type buffer overflow et peut-être incompatible à de prochaines mises à jour officielles.

La faille de sécurité à l'origine de ce correctif "officieux" se situe au niveau de l'affichage d'adresses URL. Des personnes malveillantes pourraient rediriger les internautes vers des sites Internet autres que celui qu'ils croient visiter en insérant une série de caractères dans l'adresse. Par exemple, en insérant quelques caractères après l'adresse URL d'un site, comme "%01", "%00" et "@" suivi d'une deuxième adresse URL, le navigateur affichera le premier site dans la barre d'adresse, mais redirigera le visiteur vers le second qui pourrait l'inciter à fournir des renseignements personnels en croyant qu'il est sur un site en lequel il peut avoir confiance.

Microsoft affirme être au courant de cette faille, mais ne la juge pas critique. Cette faille n'affecte pas les sites sécurisés (https://) et ne risque donc pas de causer des fraudes bancaires qui seraient la principale cause d'arnaques. L'éditeur dit travailler sur un correctif, mais ne sait pas quand il la publiera. En attendant, Microsoft donne quelques conseils pour éviter d'être victime d'une telle arnaque (en anglais).


Publié le 29/12/2003 à 14h09 par Patrick Dufresne

Source:
zdnet.fr


Nouvelle précédente:
Que de bonnes nouvelles

Autres nouvelles publiées en ce 29 décembre:

2000
Notre premier article complet
Il était un petit navire!
2001
Bûche de Noël à la télé
Ligne d'écoute pour les anti-Harry Potter
Cercueil gratuit pour chauffards ivres
2004
Préférez manger de la pizza au jour de l'An
La Chine espionnerait-elle le Canada?
2005
Top 25 des webcams de 2005
Pioneer sort son Blue-Ray
Il retrouve sa caméra volée sur eBay
2006
Le succès du iPod cause un ralentissement sur le site iTunes.
Le shopping virtuel : escalade tardive