Des petits trous, toujours des petits trous ...

Microsoft ne corrigera pas le problème de Javascript

Une « faille » reprise par Secunia exploite une fonctionnalité du Javascript pour faire apparaître par dessus une fenêtre Web, une pop-up ayant les mêmes caractéristiques qu'une fenêtre de navigation classique. Cette fonctionnalité pourrait être exploitée par certains utilisateurs malicieux pour mettre en place de faux ou des copies de sites de confiance afin de récupérer les mots de passe et autres données privées de certains internautes.

Ce problème concerne tous les navigateurs Web. Microsoft a annoncé qu'il ne publiera pas de patch pour régler ce problème. Le créateur d'Internet Explorer précise que ceci est une simple fonctionnalité, « ce n'est pas une vulnérabilité [...] ceci est un exemple qui montre comment certaines fonctionnalités du Web peuvent être exploitées pour tromper les internautes, notamment grâce au phishing».

Les développeurs de Firefox ont publié en avril un patch qui permet de bloquer les pop-up Java et Flash, à moins qu'elles ne proviennent de sites de confiances. Opera 8.01 permet quant à lui d'afficher l'origine exacte de ces pop-up, ainsi l'utilisateur peut voir l'adresse du nom de domaine sur lequel la pop-up est hébergée. Une fonctionnalité qui serait la bienvenue dans Internet Explorer ...

Encore des failles pour RealPlayer ...

Quatre nouvelles failles de sécurité ont été découvertes dans le lecteur multimédia RealPlayer. La plus sérieuse de ces failles permet à un utilisateur mal intentionné de prendre le contrôle d'un ordinateur à distance. Trois de ces failles peuvent être exploitées à travers des fichiers multimédias (RealMedia, AVI, MP3 ...) afin de prendre le contrôle d'un PC ou pour écraser des fichiers à distance, ou encore pour lancer automatiquement des contrôles ActiveX.

Pour exploiter ces failles, un hacker doit mettre en place un site Web malicieux. De nouvelles versions des produits Real corrige ces vulnérabilités. Pour plus de détails, rendez-vous sur cette page.