Un défaut de sécurité a été identifié dans le navigateur Internet Explorer 7.0. L'exploitation d'une erreur dans la page locale navcancl.htm peut favoriser une attaque par phishing ou usurpation d'adresse via un lien hypertexte piégé.
LOGICIEL(S) CONCERNE(S) :
Microsoft Internet Explorer 7.0
CORRECTIF :
Aucun correctif n'est disponible pour le moment, ce défaut de sécurité ayant été rendu public par son découvreur sans attendre que l'éditeur ait publié un correctif. L'attaque consiste à utiliser un lien hypertexte spécialement construit, contenu par exemple dans une page web ou un courrier électronique douteux, afin de diriger l'internaute vers une page "Navigation annulée" authentique mais dans laquelle a été injecté un code malicieux :
Si l'utilisateur clique sur le lien "Actualiser la page", il ne provoque pas l'actualisation de la page mais se trouve dirigé vers une page choisie par l'attaquant dont l'adresse peut être différente de celle figurant dans la barre d'adresse du navigateur, favorisant ainsi une escroquerie par phishing. La complexité relative de la manipulation et le caractère aléatoire du clic sur le lien piégé fait toutefois que le risque d'exploitation malveillante à grande échelle reste faible. En attendant la publication d'un correctif, les utilisateurs concernés peuvent appliquer les mesures suivantes :
ne pas utiliser le lien "Actualiser la page" mais le bouton équivalent ou la touche F5 ;
ne pas suivre, ouvrir ni visiter les liens hypertextes, fichiers ou sites web non reconnus comme sûrs.
http://www.secuser.com/vulnerabilite/2007/070315_iexplorer.htm
Accueil 
Lun 26 Mar - 9:11