Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Saturday 10 July 2004
0 comment(s) | Subnetwork France

Internet Explorer, le navigateur de Microsoft, n'était pas vraiment à la fête ces derniers temps. Voici donc qui devrait faire plaisir à ses utilisateurs : la dernière faille en date à frapper un navigateur ne concerne que les incontournables du Logiciel Libre que sont Mozilla (jusqu'à la version 1.7.0 inclue), Firefox (version 0.9.1 inclue) et le client email Thunderbird (version 0.7.1 inclue).Mais cette vulnérabilité ne touche que les versions pour Windows de ces outils. Leurs utilisateurs sous Linux, MacOS X, FreeBSD, Solaris et les autres ne sont donc pas concernés.Il s'agit toutefois d'une faille importante car elle permet à un site web (ou un email au format HTML) de faire exécuter un programme existant sur le PC de la victime lorsque cette dernière clique sur un lien particulier. Cette URL doit commencer par shell:.Ce type de lien indique au navigateur de ne pas s'occuper de la suite de l'adresse et de la transmettre au "shell" de Windows, c'est à dire son interpréteur de commandes. Cela permet à l'attaquant de lancer n'importe quel programme déjà présent sur le PC de sa victime (ce qui peut être exploité dans le cadre d'une attaque plus sérieuse si un code malicieux a été téléchargé à l'avance dans un endroit connu).Plus simplement, cette faille peut-être exploitée pour faire planter le PC en ouvrant une infinité de fenêtres jusqu'à le mettre à genoux. Le correctif ne fait que désactiver cette fonction.Pour la petite histoire, ce comportement était censé être corrigé par le Service Pack 1 de Windows XP... mais ce dernier ne s'est occupé en réalité que d'Internet Explorer !Cette vulnérabilité était corrigée dans la journée qui a suivi sa découverte. Une vélocité qui devrait rassurer les adeptes de l'Open Source lorsque l'on sait qu'il a fallu plus d'une semaine à Microsoft pour corriger de la même manière (en désactivant une fonction) l'une des failles utilisées dans le cadre de l'attaque Scob, autrement plus dangereuse et -elle- réellement exploitée.

• La description de la faille (en français)
• Téléchargez les correctifs.