Sécurité

Vulnérabilité Microsoft Internet Explorer

Publié le 13-08-2007 dans le thème Réseau - Sécurité

Pays : International - Auteur : Eric Romang

Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur

Note des lecteurs: 2.4/5

Révélation d'informations sensibles par le biais du protocole FTP pris en charge par Microsoft Internet Explorer.

Une vulnérabilité a été rapportée pour Microsoft Internet Explorer 6.x et 7.x. Cette faille pourrait permettre à un internaute malveillant de récupérer des informations sensibles.

Lorsque Microsoft Internet Explorer est utilisé pour accéder, en FTP, à un site, le login et le mot de passe de la connexion FTP sont stockés dans un fichier, par exemple un document HTML. Ce dernier est visualisé et sauvegardé sur l'ordinateur de l'utilisateur.

Si ce même fichier est ensuite lu en local, par une personne malveillante, via un cybercafé par exemple ou encore publié sur son propre site web, les informations de connexions peuvent être accessible sans restrictions.

Il est donc conseillé de ne pas laisser ce type de fichiers dans son ordinateur. (Washington Post)

# Liens connexes

Source de l'alerte de sécurité (The Washington Post)

Alerte de sécurité Secunia (en anglais)

Tweet

Derniers contenus

Orion Browser Dumper v1.0

14-05-2012 à 12:03 - 0 commentaire(s)

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.

Un ver dans l'oiseau Angry Birds

12-05-2012 à 12:06 - 0 commentaire(s)

Deux applications pirates d’Instagram et Angry Birds Space sous Android.

Amnesty International piraté, code malveillant injecté

11-05-2012 à 18:57 - 0 commentaire(s)

La filiale anglaise d'Amnesty International piratée. Injection d'une iframe malveillante dans le code source l'ONG.

Fausse application Android

11-05-2012 à 18:54 - 0 commentaire(s)

Nouvelle application Android piégée découverte. Un faux Player flash qui diffuse des sms pirates.

Carte bancaire sans contact, la CNIL enquête

11-05-2012 à 18:07 - 0 commentaire(s)

La Commission Nationale Informatique et des Libértés lance une expertise sur la sécurité des cartes bancaires sans contact.

La team TeaMp0isoN décapitée

11-05-2012 à 18:05 - 0 commentaire(s)

Après l´arrestation du fondateur du groupe pirate TeaMp0isoN, deux nouvelles arrestations dans ce groupe international.

Entreprise : Dossier Mes documents n´a rien de personnel

11-05-2012 à 16:38 - 0 commentaire(s)

La cour de cassation a estimé jeudi que le dossier Mes Documents n'avait rien de privé aux yeux de votre employeur.

NotCompatible : Nouveau trojan pour Android

11-05-2012 à 14:57 - 0 commentaire(s)

Un nouveau code malveillant, du nom de NotCompatible, s´attaque aux portables sous Android.

Sur le même thème : Réseau - Sécurité

Orion Browser Dumper v1.0

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.

Carte bancaire sans contact, la CNIL enquête

La Commission Nationale Informatique et des Libértés lance une expertise sur la sécurité des cartes bancaires sans contact.

Profile Visitor, escroquerie Facebook

Profile Visitor, nouvelle escroquerie sur Facebook, cherche à s’exporter

Patch Adobe urgent pour Flash Player

ADOBE diffuse un patch urgent pour corriger son lecteur Flash.

Faille pour LION d´Apple

Un problème de sécurité informatique découvert dans LION, l´OS d´Apple.

ZATAZ Web TV 3

Au sommaire : Hack in Paris; piratage facile des webmails; pirates spécialisés dans les sites militaires; espionnage à partir d'un parking automobile.

Vulnérabilité pirate pour Mister Good Deal

Info ZATAZ - Une faille informatique permet de piéger les clients du site Mister Good Deal

Fuite de mot de passe DailyMotion

INFO ZATAZ - Mot de passe Dailymotion en clair pour le site Challenge. Un pirate aurait pu tout détruire.

Vos réactions ( 9 )

Ecrit par Guest le 13.08.2007 à 20h30

Invités

Inscrit le 16-05-2012

C'est pas vraiment à proprement parler d'une vulnérabilité...

Comme l'expression le dit, trop d'information tue l'information, et il semblerait que la politique de zataz mise sur la quantité et non sur la qualité.

Ecrit par Guest le 13.08.2007 à 22h52

Invités

Inscrit le 16-05-2012

Contrairement à vous je trouve cette information très intéressante, en tant qu'informaticien et webmaster à mes heures je ne le savais pas et c'est quand même une vulnérabilité importante qui aurait pu être corrigée!

Ecrit par Guest le 13.08.2007 à 23h21

Invités

Inscrit le 16-05-2012

Je ne vois pas comment ça peut être vrai :

1. J'ai testé et ça ne "marche" pas : aucune information de connexions n'est stockée dans un fichier HTML téléchargé sous IE en FTP.

2. En admettant qu'IE ait ce comportement (ce qui serait énorme), le fichier téléchargé est donc altéré : il ne s'affiche ou ne s'exécute plus correctement.

A creuser.

PS au rédacteur de la news : gaffe aux fautes : "sauvegarder" au lieu de "sauvegardé", "accéder" au lieu de "accédé", "accessible" au lieu de "accessibles"

Ecrit par Guest le 13.08.2007 à 23h57

Invités

Inscrit le 16-05-2012

Bonjour, Nous ne faisons que relayer l'information publiée par le Washington Post. Pour ma part, je considére cette fuite d'information comme une vulnerabilité.

Ecrit par Guest le 14.08.2007 à 00h58

Invités

Inscrit le 16-05-2012

il faut etre un zero en securité pour se connecter a un acces privés sensible depuis un acces public comme un cybercafé. C est comme ceux qui lisent leurs mails dans les wifi des gares le matin, faut assumer le fait qu on puisse recuperer tout ce qui passe dans l air. La vulnaribilité des ordinateurs qu il faudrait supprimer c est l utilisateur qui comprend rien et surtout se fiche de tout.

Ecrit par Guest le 14.08.2007 à 10h12

Invités

Inscrit le 16-05-2012

Je ne comprend pas trop ce genre d'informations. On peut très bien dire exactement là même chose des Cookies...

Ecrit par Guest le 14.08.2007 à 16h56

Invités

Inscrit le 16-05-2012

Pour ce qui est des cookies, les sites sont sensés te demander avant de stocker des cookies permettant une connection automatique, et ces cookies ne contiennent normalement pas ton mot de passe mais juste un identifiant pour la reconnection.
Stocker les identifiants dans un fichier sans prévenir l'utilisateur et sans lui laisser la possibilité de ne pas le faire est évidemment une faille.

Ecrit par Guest le 14.08.2007 à 21h47

Invités

Inscrit le 16-05-2012

Mais genre ...
Cette vulnerabilité est ultra connu depuis des années ! tous les pwd.Stealer chopent les mdp ftp d'ie , les mdp d'adresse mail d'outlook et le contenu des formulaires pré-enregistrés. Et ce n'est pas forcement lié au navigateur, le ogin:mdp ftp peut être enregistré dans le regisre windows.

Seul IE est vulnérable : utilisez Firefox et Filezila !

Ecrit par Guest le 14.08.2007 à 23h18

Invités

Inscrit le 16-05-2012

J'ai bien sur testé cette vulnérabilité, et ça marche. Peut-être ,n'avez-vous pas compris.
Créer un fichier html sur le ftp, ouvrez le sur le ftp puis enregistrez le. Et la comme par magie l'identifiant et le mot de passe avec le serveur ftp en prime dans le code source de la page html!

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Rechercher dans les Alertes

Mots clés
	sur ZATAZ sur le web

<a href='http://s008.media-clic.com/ox/www/delivery/ck.php?n=ad465f6c&cb=MC_TAG' target='_blank'><img src='http://s008.media-clic.com/ox/www/delivery/avw.php?zoneid=2056&cb=MC_TAG&n=ad465f6c' border='0' alt='' /></a>

Application iPhone et iPad ZATAZ, gratuite et sans publicité.

Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Safari 5.1 pour Mac [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et de récupérer des [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et lire des [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le 19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazquez Joshua Abraham sinn3r Référence(s) [...]

Syndication RSS

ZATAZ mobile et PDA

PDA
Imode

A PROPOS CONTACT Graphisme par Exclusive Network
www.antivirus-enligne.com www.antispyware-gratuits.com www.firewall-gratuit.com
www.outilsgratuits.com www.antispam-gratuits.com www.antiphishing-gratuit.com www.virus-alerte.com

Tout usage des informations diffusées par ZATAZ.COM est soumi à autorisation préalable et express. La violation de ces dispositions impératives soumet le contrevenant,
et toutes personnes responsables, aux peines pénales et civiles prévues par la loi française.

Copyright ZATAZ 1997 - 2012