axel 10065
| Posté : 10-03-2004 16:55
http://www.zdnet.fr/actualites/technologie/0,39020809,39134664,00.htm
Usurper l'identité des URL affichées dans la barre d'adresse
La faille a été détectée au niveau de l'affichage des URL dans la barre d'adresse d'Internet Explorer. Elle concerne les versions 5.01, 5.5 et 6.
Une erreur d'interprétation fait que l'URL affichée n'est pas obligatoirement celle du nom de domaine exact où se trouve l'ordinateur victime de cette usurpation. Il suffit ainsi d'insérer, dans l'énoncé d'une adresse, les séries de caractères "%01", "%00" et "@", ainsi qu'une seconde URL, expliquent les "débuggers indépendants" d'Openwares.org. Le navigateur affichera alors la première, mais pointera sur la seconde URL. De quoi duper les internautes qui croiront être, par exemple, sur un site officiel en se référant à l'URL affichée, alors qu'ils pourront être en réalité n'importe où ailleurs.
«Nous n'estimons pas qu'il s'agit d'une faille critique, car la manipulation ne fonctionne pas avec des adresses de type "https", c'est-à-dire avec des pages sécurisées. Il n'y a donc pas d'arnaque bancaire en perspective ce qui aurait été le principal risque», précise le responsable de Microsoft. En attendant de se décider sur l'opportunité d'un correctif, l'éditeur fournit des conseils pour se prémunir d'éventuels actes de malveillance exploitant cette faille sans pour autant la résorber.
faut toujours qu'on me contredise |