Les versions Internet Explorer 5.5 et 6 sont victimes d’un très sérieux trou de sécurité dû à une mauvaise implémentation du langage de script JavaScript. Découverte le 19 décembre dernier par The Pull, un expert indépendant en sécurité informatique, la faille n’a pas encore été corrigée par Microsoft.Le trou de sécurité provient d’une mauvaise implémentation du langage JavaScript dans les navigateurs Internet Explorer. Le langage JavaScript, inventé par la société Netscape Communications, permet d’enrichir l’interactivité des pages Web et est très fréquemment utilisé par les développeurs.Pour ses navigateurs Internet Explorer, Microsoft a créé sa propre version du langage JavaScript, baptisée Jscript. Mais les développeurs de Microsoft n’ont pas respecté une règle de sécurité de base, énoncée par la société Netscape Communications, et connue sous le nom de ” Same origin policy “. Cette règle de sécurité précise qu’un code de script exploité par un premier site Web ne doit pas pouvoir modifier les propriétés d’un second site Web. Par exemple, si un site A utilise du JavaScript pour ouvrir dans une nouvelle fenêtre de navigateur un site B, le script du site A ne doit pas pouvoir modifier les informations ou les propriétés du site B.
Un outil puissant aux mains des pirates
La violation de cette simple règle de sécurité entraîne trois types de menaces explicitées par The Pull lors d’une démonstration sur son site Web. Ainsi, à partir d’une page Web piégée (c’est-à-dire utilisant les commandes défaillantes du langage Microsoft Jscript), un pirate peut dérober les cookies stockés sur l’ordinateur d’un internaute ou lire des fichiers de son disque dur. De plus, le pirate peut s’approprier le contenu d’un autre site Web en utilisant une technique appelée ” spoofing “. Par exemple, l’internaute croit être sur le site de sa banque en ligne et fournit innocemment ses coordonnées bancaires mais c’est un pirate qui est à l’écoute…Pour l’heure, le seul moyen de se protéger contre ce trou de sécurité est d’utiliser Netscape Navigator ou de désactiver le langage de script d’Internet Explorer, en attendant un correctif de sécurité de Microsoft. Selon The Pull, on ne lui a pas répondu lorsqu’il a soumis cette vulnérabilité aux équipes sécurité de Microsoft.Pour plus d’informations, consulter cet avis du Computer Emergency Response Team ( Cert) publié en 2000 et concernant JavaScript.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
