jeudi 11 décembre 2003

Mozilla partiellement vulnérable au défaut de sécurité de mystification d’URL d’Internet Explorer

Koody nous communique que Mozilla est partiellement vulnérable au trou de sécurité de mystification d’URL d’Internet Explorer récemment annoncé. Le dernier défaut d’IE permet à un attaquant de déguiser le vrai domaine d’une URL dans la barre d’adresse du navigateur, permettant à une page localisée sur evilscam.net de paraitre être sur microsoft.com. Cet exploit peut être utilisé pour augmenter l’efficacité des escroqueries communément appellés « phishing » qui ont récemment été utilisées pour viser les clients de PayPal, d’eBay et de plusieurs banques en ligne.

La défaut de mystification de l’URL de la barre d’adresse a été annoncé à l’origine par Sam « Zap The Dingbat » Greenhalgh, qui a donné les détails de l’exploit et une démonstration. La société de sécurité Secunia a publié un rapport consultatif de la vulnérabilité, avec une mise à jour de Chris Hall annonçant que l’URL affichée dans la barre d’état lorsque le pointeur souris survol le lien d’ une page mystifiée est aussi affectée. Bien que les navigateurs basés sur Mozilla comme la suite applicative Mozilla et Mozilla Firebird sont immunisés à la mystification de la barre d’adresse la plus grave, ils semblent être vulnérables à la variante de la barre d’état.

Le test proposé par Secunia de mystification de l’URL de la barre d’adresse d’Internet Explorer démontre a la fois le défaut complet de IE et l’aspect barre d’état qui affecte Mozilla. Le rapport de Bugzilla approprié est le bogue 228176, qui a été remplit aujourd’hui et a déjà un correctif préliminaire en attachement (n’ajoutez pas s’il vous plaît de commentaires inutiles au bogue ; les développeurs sont déjà conscients de son sérieux. Il est recommandé aux utilisateurs de Mozilla de ne pas tenir compte de l’URL affichée dans la barre d’état et de vérifier l’adresse complète de la page de destination dans la barre d’adresse une fois arrivé sur le site.