Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Jerome Saiz (SecurityVibes)
Published on Thursday 10 June 2004
0 comment(s) | Subnetwork France

Si votre navigateur Internet Explorer s'est subitement mis à vous présenter plus de fenêtres pop-up publicitaires que d'ordinaire, peut-être venez-vous d'être victime des deux dernières failles à la mode chez les cow-boys de la publicité en ligne !Découvertes cette semaine par un chercheur indépendant et publiées sur une liste de discussion spécialisée, ces deux vulnérabilités seraient en réalité connues depuis bien plus longtemps par certaines sociétés de publicité sur Internet. Le chercheur à l'origine de la découverte a été ainsi prévenu par un correspondant victime de l'installation sauvage d'un logiciel publicitaire au cours d'une séance de surf. Personne ne sait depuis quand ces failles sont activement exploitées.L'attaque fonctionne grâce à l'exploitation successive de deux vulnérabilités : la première permet d'exécuter du code sur l'ordinateur de la victime et la seconde de faire en sorte que ce code s'exécute dans un cadre moins restrictif que la "zone Internet" d'Internet Explorer, justement prévue pour éviter ce type d'abus. Exploitées ensembles, ces failles sont à l'origine de la récente vague d'installations sauvages de la barre de recherche "I-Lookup". Celle-ci est éditée par une société de marketing en ligne basée au Costa Rica et connue pour ses techniques plutôt agressives, même si rien ne prouve qu'elle soit à l'origine des installations frauduleuses.Une fois installée, la barre "I-Lookup" se permet de modifier la configuration du navigateur. Elle en change la page de démarrage, le dirige vers des sites publicitaires et affiche régulièrement des fenêtres pop-up, elles aussi publicitaires.Microsoft, prévenu en même temps que le reste du monde via une liste de diffusion, travaillerait déjà sur un correctif. Indice de l'ampleur de ces installations sauvages : le patch pourrait être diffusé dès qu'il est prêt, et donc sans respecter le cycle mensuel instauré par l'éditeur l'an dernier.En attendant le correctif salvateur, les adeptes d'Internet Explorer peuvent désactiver l'exécution des scripts pour tous les sites (une solution guère pratique), ou profiter de l'occasion pour essayer un autre navigateur !

• L'alerte (en anglais)