Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Tuesday 22 November 2005
0 comment(s) | Subnetwork France

Une vulnérabilité non corrigée capable d'offrir le contrôle de l'ordinateur à la seule visite d'un site web est déjà un souci majeur. Mais lorsqu'un groupe de pirates décide de publier son mode d'emploi sur Internet, la situation devient franchement explosive.Et c'est précisément ce qui est entrain de se passer pour Internet Explorer. Découverte en mai dernier, la vulnérabilité a d'abord été considérée comme mineure car elle ne permettait que de faire "planter" le navigateur. Microsoft n'avait semble-t-il même pas jugé nécessaire de la corriger.Mais voilà qu'aujourd'hui les cadavres sortent du placard : un groupe de pirates vient d'annoncer que cette faille est beaucoup plus grave que ne le pensait l'éditeur. Et pour le prouver, il vient de publier un code d'exploitation fonctionnel capable de prendre le contrôle de l'ordinateur à la seule visite d'un site web piégé.La vulnérabilité concerne Javascript, et plus précisément la commande OnLoad lorsqu'elle est utilisée avec la fonction window(). Son exploitation a été confirmée avec toutes les versions de Windows et Internet Explorer 5 et 6, y compris celles entièrement à jour de leurs correctifs de sécurité. Seule exception : Windows Server 2003, qui ne serait pas vulnérable grâce à sa bonne utilisation de droits réduits.En l'absence de tout correctif disponible, Internet Explorer est donc à nouveau une cible toute désignée pour les mafias du web, qui vivent de l'installation sauvage de logiciels publicitaires ou de robots (les fameux bots chargés de créer un réseau de PC zombies qui seront ensuite loués pour l'envoi de spam ou l'attaque de sites web commerciaux).L'impact de cette vulnérabilité pourrait être particulièrement sévère. Seul motif de réconfort : il n'y a actuellement aucune vulnérabilité serveur exploitable en parallèle. Les sites web piégés devraient donc se limiter à ceux que contrôlent déjà les escrocs. L'on devrait ainsi pouvoir éviter une attaque massive à la façon de Scob.En attendant le correctif, les adeptes d'Internet Explorer (car il en reste...) devraient désactiver l'Active Scripting dans les options de leur navigateur, ou se faire violence et télécharger un autre navigateur, Opera ou Firefox par exemple.

• L'annonce de Microsoft (en anglais)
• L'alerte sur le site de Secunia (en anglais)