Vulnérabilité
non corrigée dans Internet Explorer 7.0 (15/03/07)
RESUME :
Un défaut de sécurité a été identifié
dans le navigateur Internet Explorer 7.0. L'exploitation d'une erreur
dans la page locale navcancl.htm peut favoriser une attaque par
phishing ou usurpation d'adresse via un lien hypertexte piégé.
LOGICIEL(S)
CONCERNE(S) :
Microsoft
Internet Explorer
7.0
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, ce défaut de sécurité
ayant été rendu public par son découvreur sans
attendre que l'éditeur ait publié un correctif. L'attaque
consiste à utiliser un lien hypertexte spécialement
construit, contenu par exemple dans une page web ou un courrier
électronique douteux, afin de diriger l'internaute vers une
page "Navigation annulée" authentique mais dans
laquelle a été injecté un code malicieux :
Si l'utilisateur
clique sur le lien "Actualiser la page", il ne provoque
pas l'actualisation de la page mais se trouve dirigé vers
une page choisie par l'attaquant dont l'adresse peut être
différente de celle figurant dans la barre d'adresse du navigateur,
favorisant ainsi une escroquerie par phishing. La
complexité relative de la manipulation et le caractère
aléatoire du clic sur le lien piégé fait toutefois
que le risque d'exploitation malveillante à grande échelle
reste faible. En attendant la publication d'un correctif, les utilisateurs
concernés peuvent appliquer les mesures suivantes :
- ne pas utiliser
le lien "Actualiser la page" mais le bouton équivalent
ou la touche F5 ;
- ne pas suivre,
ouvrir ni visiter les liens hypertextes, fichiers ou sites web
non reconnus comme sûrs.
INFORMATIONS
COMPLEMENTAIRES :
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|