Une nouvelle faille dans Firefox et cie

Statut
N'est pas ouverte pour d'autres réponses.
null

null

ose();
Une nouvelle faille de sécurité a été découverte dans certains navigateurs Web. Cette faille est liée à l'IDN (International Domain Name) qui est parfois mal implémenté. Ainsi, certains caractères spéciaux ne sont parfois pas affichés correctement dans le navigateur. Le site Secunia nous propose sur cette page un test pour illustrer cette faille. Il permet de faire afficher l'adresse "www.paypal.com" dans le navigateur alors que l'on reste bien sur le site de Secunia. Dès lors on imagine que des personnes mal intentionnées peuvent créer, par exemple, des copies de sites de banque qui afficherait une adresse correcte dans le navigateur mais qui serait en réalité hébergé à une toute autre adresse.

Cette faille peut donc être exploitée pour procéder à des attaques par spoofing (usurpation par un utilisateur d'une adresse IP, afin de se faire passer pour la machine à laquelle cette adresse correspond) ou par phising (consiste à créer des copies de sites de confiance pour récuperer des informations confidentielles comme des numéros de cartes bancaires). Les navigateurs concernés par cette faille sont les suivants :

- Mozilla 1.7.5 et inférieures
- Firefox 1.0 et inférieures
- Safari version 1.2.4 (v125.1) et inférieures
- Opera version 7.54u2 et inférieures
- OmniWeb version 5.1 et inférieures
- Konqueror version 3.2.2 et inférieures

Il est possible de désactiver la prise en charge de l'IDN en tapant dans le navigateur "about:config" et de remplacer la valeur "true" de la clé "idn" par "false". En attendant un éventuel patch, il est conseillé de désactiver l'idn ou d'éviter d'accéder à des sites de confiance par des liens tiers trouvés sur des sites ou dans des emails suspects.
Cliquez pour agrandir...
Source : Clubic.com

Dans FireFox : network.enableIDN à FALSE
 
Jereck

Jereck

Α & Ω
Staff
Ça me fait penser à une vielle faille de IE ça ... :p

Tant qu'on y est sur la sécurité, 13 nouvos patch devraient être disponibles cette semaine sur Windows Update.
Pensez-y ;)
 
MbK_

MbK_

Etudjant
sur IE y'a pas de probleme.

tirez la conclusion vous meme ^^
 
T

ttt3566

ex membre
MbK_ a dit:
sur IE y'a pas de probleme.

tirez la conclusion vous meme ^^
Cliquez pour agrandir...
...

Pour une fois qu'il n'y a aucun problème sous IE :pfiou:
 
1er
OP
null

null

ose();
[Head a dit:
]
MbK_ a dit:
sur IE y'a pas de probleme.

tirez la conclusion vous meme ^^
Cliquez pour agrandir...
...

Pour une fois qu'il n'y a aucun problème sous IE :pfiou:
Cliquez pour agrandir...
+1

On fait le concours de celui qui a le moins de spywares (en compant le cache Cookie de IE) ? Ou alors on regarde lequel survit le mieux avec les url : hlp:// ? :roll:
 
Tronyx

Tronyx

Elite
Firefox reste quand meme le meilleur,et puis aucun programme est sans faille :wink:
 
Xou

Xou

I ♥ rien
Pour une fois qu'on trouve une faille sur firefox :p

IE, de toutes façons c'est une pure daube

1) ça accepte les spywares comme un poivrot des bières
2) c'est lent
3) c'est bourré de failles
4) microcrotte fait partie du consortium W3C et ça ne respecte pas du tout les règles de base pour CSS et HTML sans oublier que ie ne gère pas la transparence du png, donc, IE -> poubelle =)

Bref, vive mozilla, depuis que je l'ai, je l'ai adopté
 
unso

unso

Elite
Xyauh a dit:
Pour une fois qu'on trouve une faille sur firefox :p

IE, de toutes façons c'est une pure daube

1) ça accepte les spywares comme un poivrot des bières
2) c'est lent
3) c'est bourré de failles
4) microcrotte fait partie du consortium W3C et ça ne respecte pas du tout les règles de base pour CSS et HTML sans oublier que ie ne gère pas la transparence du png, donc, IE -> poubelle =)

Bref, vive mozilla, depuis que je l'ai, je l'ai adopté
Cliquez pour agrandir...
t'as quelque chose contre les poivrots ? :D

Non, mais tu as raison et je suis même pret à parier qu'une update pour firefox serait dispo d'ici quelques jours.

(pour l'update d'une faille IE, on peut toujours attendre...)
 
Sklux

Sklux

Touriste
Ce qui est strange, c'est que le bug affecte tous les navigateurs courants autre que IE alors qu'ils n'utilisent pas le même code de
base et parfois pas le même OS. :?
 
TeXx

TeXx

Elite
null a dit:
[Head a dit:
]
MbK_ a dit:
sur IE y'a pas de probleme.

tirez la conclusion vous meme ^^
Cliquez pour agrandir...
...

Pour une fois qu'il n'y a aucun problème sous IE :pfiou:
Cliquez pour agrandir...
+1

On fait le concours de celui qui a le moins de spywares (en compant le cache Cookie de IE) ? Ou alors on regarde lequel survit le mieux avec les url : hlp:// ? :roll:
Cliquez pour agrandir...
chacun utilise ce qu'il lui semble etre le mieux.. zete lourd parfois a tt le temps vs prendre la tete pr des conneries
 
Jereck

Jereck

Α & Ω
Staff
TeXx a dit:
chacun utilise ce qu'il lui semble etre le mieux.. zete lourd parfois a tt le temps vs prendre la tete pr des conneries
Cliquez pour agrandir...
Tiens, enfin qqu'un de sensé...
 
T

theodorus

ex membre
MbK_ a dit:
sur IE y'a pas de probleme.

tirez la conclusion vous meme ^^
Cliquez pour agrandir...
La conclusion? Que I.E. ne prends pas en charge l'IDN. Facile dès lors de ne pas avoir de failles dans un système qui n'existe pas. C'est une politique de sécurité assez étrange à mon goût, mais je m'en fout je n'utilise pas de logiciel Microsoft (ce n'est pas le cas des "crackers").

D'ailleurs tu peux jeter ton ordinateur à la poubelle dès maintenant comme ça tu n'auras plus jamais de problèmes de sécurité.
 
Jereck

Jereck

Α & Ω
Staff
theodorus a dit:
Que I.E. ne prends pas en charge l'IDN.
Cliquez pour agrandir...
c'est à dire ?
Car je sais bien qu'IE avait justement ce problème il y a qques mois (une dizaine je pense) mais qu'ils l'ont règlé.
 
T

theodorus

ex membre
Jereck a dit:
theodorus a dit:
Que I.E. ne prends pas en charge l'IDN.
Cliquez pour agrandir...
c'est à dire ?
Car je sais bien qu'IE avait justement ce problème il y a qques mois (une dizaine je pense) mais qu'ils l'ont règlé.
Cliquez pour agrandir...
Voici une des nombreuses sources plus ou moins sérieuses sur le sujet.

Bon c'est vrai, I.E. a bien cette fonctionalité, si on prend la peine d'installer le bon plugin. (Mais même, la news Slashdot prétend qu'alors I.E. est aussi vulnérable).

PS : En informatique, rare sont les gens qui *savent* et beaucoup sont ceux qui *croient*. Quelles sont tes sources?
 
Jereck

Jereck

Α & Ω
Staff
theodorus a dit:
PS : En informatique, rare sont les gens qui *savent* et beaucoup sont ceux qui *croient*. Quelles sont tes sources?
Cliquez pour agrandir...
expérience personelle : en mettant un caractère bien précis dans un lien, l'adresse dans la barre n'était pas celle du site affiché.
Bon, évidemment la cause de ce bug n'était p-e pas la même que celle dont on parle ici, mais l'effet était exactement le même.

Edit : p-e que leur manière de corriger ce bug a été de simplement retirer le support de l'IDN en fait
(et qu'est-ce que l'IDN exactement au fait ?)
 
nexty

nexty

I
merci pour l'info
 
TheNastyBoy

TheNastyBoy

B0rn t0 b3 r00t
Qu'on me corrige si je me trompe : l'IDN permet d'utiliser des caractères internationaux dans les noms de domaines, et donc les urls.

En désactivant l'IDN via about:config dans Firefox 1.0 sur ma machine de travail, la faille fonctionnait encore :p

J'ai édité mon fichier compreg.dat, j'ai modifié la valeur 1 par 0, ça marchait encore :-(
Je commente la ligne... plus de faille :D

recherchez donc dans le chemin :
/home/user/.mozilla/firefox/*.default/compreg.dat
ou
%SYSTEM%/Documents And Settings/$USER/Application Data/Mozilla/Firefox/Profiles/*.default/compreg.dat

la ligne comportant :
Code: 
@mozilla.org/network/idn-service;1,
commentez cette ligne en mettant le symbole # devant.
 
La Poubelle

La Poubelle

Pou'r allé Danché
null a dit:
[Head a dit:
]
MbK_ a dit:
sur IE y'a pas de probleme.
tirez la conclusion vous meme ^^
Cliquez pour agrandir...
...
Pour une fois qu'il n'y a aucun problème sous IE :pfiou:
Cliquez pour agrandir...
+1
On fait le concours de celui qui a le moins de spywares (en compant le cache Cookie de IE) ? Ou alors on regarde lequel survit le mieux avec les url : hlp:// ? :roll:
Cliquez pour agrandir...
Tiens spywareblaster dispose aussi d'une option pour VACCINER les navigateurs basé sur Mozilla.

Encore un comique de laché :mrgreen:
 
Cr0k

Cr0k

Elite
Sklux a dit:
Ce qui est strange, c'est que le bug affecte tous les navigateurs courants autre que IE alors qu'ils n'utilisent pas le même code de
base et parfois pas le même OS. :?
Cliquez pour agrandir...
C'est Microsoft qui s'attaque à Firefox, ils en ont marre que tout le monde change! :D
 
Statut
N'est pas ouverte pour d'autres réponses.
Haut