~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
S E C U S E R S E C U R I T E 22/06/05
www.secuser.com/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Usurpation d'identité via javascript dans les navigateurs web
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. RESUME DE L'ALERTE
2. LOGICIEL(S) CONCERNE(S)
3. CORRECTIF DISPONIBLE
4. AIDE ET DISCUSSION
5. FAIRE CONNAITRE SECUSER SECURITE
6. CONTACTER SECUSER.COM
7. DESABONNEMENT ET CHANGEMENT D'ADRESSE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
En amenant un internaute à cliquer sur un lien piégé pointant vers un site de confiance mais commandant l'exécution d'un certain code javascript, il
est possible de lui laisser croire qu'une fenêtre pop-up ou qu'une boîte de dialogue apparaissant au premier plan appartient au site de confiance lors
qu'elle appartient à un site tiers malveillant. Cette exploitation n'est pas à proprement parler une faille des navigateurs mais peut être en théorie utilisée pour soutirer à l'internaute des données sensibles ou pour afficher
un message qui serait faussement attribué au site de confiance. Tous les navigateurs web sont concernés mais le risque est faible.
www.secuser.com/communiques/2005/050621_navigateurs.htm
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2. LOGICIEL(S) CONCERNE(S)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Apple Safari
Microsoft Internet Explorer
Mozilla Camino
Mozilla Firefox
Mozilla Suite
Opera
autres
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3. CORRECTIF DISPONIBLE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Compte tenu de la nature du problème, aucune solution complète n'est attendue dans un avenir proche, aussi la sensibilisation des internautes est un élément primordial. Il est en effet aisément possible de se prémunir contre ce type d'attaque en suivant les conseils habituels : désactiver la prise en charge de javascript et autres langages de script dans son logiciel de messagerie, prendre l'habitude de ne jamais cliquer sur les liens contenus dans les messages non sollicités reçus et éviter de surfer sur des sites douteux en même temps que sur un site de confiance. Compte tenu du faible niveau de risque la désactivation de javascript dans le navigateur web n'est pas recommandée. Les utilisateurs du navigateur Opéra peuvent par ailleurs installer la dernière version du logiciel depuis le site de l'éditeur : pour tenter de remédier au problème dans le cas d'une boîte de dialogue javascript, l'adresse du site d'origine y est indiquée en clair.
www.secuser.com/communiques/2005/050621_navigateurs.htm