L'éditeur de solutions de sécurité informatique américain Symantec, nous signale la présence d'une faille de type zero-day (à action immédiate) présente sur les 2 navigateurs web phare : Microsoft Internet Explorer et Mozilla Firefox. Opéra ne semble pas être concerné par cette faille.



La cause de cette faille : Une fonction, baptisée "OnKeyDown". L'évènement OnKeyDown est l'une des actions décrivant une frappe sur une touche
. Il est lié aux évènements OnKeyPress et OnKeyUp qui à eux trois décrivent complètement une frappe sur le clavier. Taper par exemple la lettre "a" fait intervenir ces trois évènements de façon successive. Le premier évènement déclenché est OnKeyDown qui correspond à la pression sur la touche. Vient ensuite l'évènement OnKeyPress qui coincide avec le fait d'avoir la touche enfoncée et enfin l'évènement OnKeyUp relatif au fait de relacher la touche.

La faille viendrait d'un détournement de cette fonctionnalité permettant à un pirate, via sa page piégée, de récupérer tous les caractères d'un mot de passe par exemple.

Voici ce qui va faire le bohneur des pirates utilisant le phishing.

Je viens de mettre en place sur mon FTP une page Web exploitant cette faille grâce au "proof of concept" réalisé par Charles McAuley donc le code est disponible ici. Bien sur ce test est sans danger.

Accéder au test sans danger de la faille
Commentaires | Imprimer | Ajouter à :

• 06/06/2006 - Le top 10 des mots de passe les plus utilisés !
• 06/06/2006 - DépanneTonPC recrute !
• 06/06/2006 - Cyber-Pédophiles 0 - Police 1
• 06/06/2006 - Nvidia Forceware 91.31 (bêta) disponible !
• 06/06/2006 - Mise à jour pour les consoles Xbox 360
• 06/06/2006 - On reparle d'interopérabilité chez Microsoft avec WLM ?
• 05/06/2006 - Le prix des CD-R augmente ?
• 03/06/2006 - Kingston sort de nouvelles barrettes DDR2 : vitesse max !
• 03/06/2006 - Overclex publie 2 nouveaux tests
• 03/06/2006 - 6 nouveaux dossiers sur PPC et Bestofmicro !