Plusieurs failles, encore non corrigées ont récemment été découvertes dans le navigateur de Microsoft, Internet Explorer. Cette nouvelle ne surprendra pas les utilisateurs, puisque cela est relativement fréquent. Par contre, une fois n’est pas coutume, les deux autres navigateurs phares, Firefox et Opera sont également victimes, au même moment, de problèmes de sécurité qui nécessitent une mise à jour rapide.
Le premier problème a être corrigé, par les récentes mises à jour de Firefox et Opera, est une faille d’implémentation de l’algorithme RSA, révélée par Daniel Blechenbacher, qui permettait concrètement de forger des faux certificats, en manipulant le message et la signature grâce à des fonctionnalités « oubliées » de la technique de remplissage (padding) spécifiée par l'ensemble de normes PKCS.
Seulement certaines autorités de certification sont vulnérables à ce problème. Une équipe de l’université technique de Darmstadt, en Allemagne, a réalisé une étude sur le sujet ( http:[click] ) .
Précisons que cette technique permet notamment de forger des faux certificats serveurs, qui seront acceptés par les navigateurs vulnérables, entraînant la possibilité d’attaques de type man-in-the-middle en HTTPS.
La version 1.0.7 de Firefox corrige ce bug, ainsi que plusieurs autres. Le navigateur Konqueror, peut également être vulnérable car il utilise la librairie OpenSSL, qui a également fait l’objet d’une mise à jour. Il est donc conseillé de mettre à jour ces deux composants.
Opera, aussi vulnérable à cette faille, a été mis à jour vers la version 9.0.2. Une fois n’est pas coutume, Microsoft ferait presque figure d’exemple puisque Internet Explorer 6 n’est pas vulnérable à ce bug du « cube parfait », au même titre que le navigateur d’Apple, Safari.
Mais le navigateur le plus utilisé au monde est tout de même touché par plusieurs failles en cette rentrée 2007. La première, découverte par un chercheur anonyme (pseudonyme : nop) se trouve dans un composant ActiveX destiné à la gestion du multimédia (daxctle.ocx), et permet d’exécuter du code à distance.
La seconde a été découverte dans la nature par la société américaine Sunbelt Software. Il s’agit d’un buffer overflow dans la reconnaissance du code VML (Vector Markup Language – standard de description d’images vectorielle). Cette faille serait notamment utilisée sur plusieurs sites pornographiques et aurait été intégrée dans l’outil d’implantation d’adwares et spywares WebAttacker.
Au final, exception faite des heureux utilisateurs de Safari, il est conseillé à tous les internautes de mettre à jour leur navigateur.
Accueil 
Connexion 