Vulnérabilité
Gopher pour Microsoft Internet Explorer, Proxy Server 2.0
et ISA Server 2000 (12/06/02)
Une faille
a été découverte dans la gestion du vénérable
protocole Gopher par Internet Explorer (toutes versions),
Proxy Server 2.0 et ISA Server 2000.
Dans le
cas d'Internet Explorer, un tampon non vérifié
peut être utilisé par une personne malveillante
pour exécuter le code de son choix sur l'ordinateur
de sa victime lors de la visualisation d'une page ou d'un
mail au format HTML se connectant à serveur Gopher
contrôlé par l'attaquant (URL de type gopher://).
Un
correctif est en cours de développement. En attendant,
les utilisateurs peuvent inhiber le protocole Gopher de leur
navigateur Internet Explorer en suivant les indications ci-dessous
:
- dans
le cas d'un ordinateur utilisant une connexion par modem
choisir le menu "Outils", "Options Internet..."
puis l'onglet "Connexions", sélectionner
la connexion utilisée (celle portant normalement
le nom de votre fournisseur d'accès) puis cliquer
sur le bouton "Paramètres...". Dans la
fenêtre qui s'ouvre, cocher la case "Utiliser
un serveur proxy", cliquer sur le bouton "Avancés..."
et dans le champ correspondant au protocole Gopher entrer
localhost pour l'adresse du proxy et 1 comme numéro
de port. Valider ensuite les fenêtres restées
ouvertes.
- dans
le cas d'un ordinateur en réseau local (LAN)
: choisir le menu "Outils", "Options Internet...",
l'onglet "Connexions" puis cliquer sur le bouton
"Paramètres LAN...". Dans la fenêtre
qui s'ouvre, cocher la case "Utiliser un serveur proxy",
cliquer sur le bouton "Avancés..." et dans
le champ correspondant au protocole Gopher entrer localhost
pour l'adresse du proxy et 1 comme numéro de port.
Valider ensuite les fenêtres restées ouvertes.
Pour vérifier
que le protocole est inactivé, cliquez sur ce
lien de test appartenant au site Online Solutions : si
Gopher est inhibé, une erreur doit s'afficher ("Impossible
d'afficher la page"), dans le cas contraire un texte
en anglais vous rappellera les consignes pour inhiber Gopher
sur un LAN.
Plus de
détails dans le Microsoft
Security Bulletin MS02-027 (en anglais)
Le site
Online Solutions avec plus d'informations sur la faille
(en anglais)
Téléchargement
des correctifs :
|