Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Faille 0 day dans Internet Explorer, les détails déjà disponibles

Faille 0 day dans Internet Explorer, les détails déjà disponibles

Le 15 avril 2019 à 09h34

Le chercheur John Page a publié les détails et un prototype d’exploitation d’une vulnérabilité dans Internet Explorer. Une décision prise à la suite d’un refus de Microsoft de s’en occuper diligemment.

La faille est de XXE (XML eXternal Entity) et réside dans la manière dont Internet Explorer prend en charge les fichiers MHT. Ces derniers ont été pour rappel pendant longtemps le format classique d’enregistrement des pages web quand l’utilisateur voulait les enregistrer localement (Ctrl + S).

Bien que tous les navigateurs soient passés au HTML depuis longtemps, les fichiers MHT sont ouverts par défaut via Internet Explorer, même sur les Windows les plus récents.

Selon Page, ils peuvent donc être utilisés pour exploiter la faille dans Internet Explorer, exploitable de manière qu’aucune interaction de l’utilisateur soit requise. Le pirate serait alors en mesure de dérober des données locales.

Qu’Internet Explorer ne soit plus utilisé que par 6 ou 7 % des utilisateurs dans le monde n’y change pas grand-chose : le navigateur est installé par défaut et ouvre les fichiers MHT. En théorie, tout ce dont un pirate a besoin est donc d’un double clic sur une archive MHT.

Microsoft n’a pas refusé de corriger le problème, mais a répondu que ce ne serait pas dans l’immédiat. Le problème ne semble pas urgent à l’éditeur. La publication des informations par John Page pourrait donc accélérer le mouvement.

Le 15 avril 2019 à 09h34

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il suffirait dans un premier temps de désactiver l’association automatique, non ? <img data-src=" />

votre avatar

J’ai été obligé de ressortir IE ce matin pour un client qui doit utiliser le portail de dématérialisation des marchés publics. Ça tourne avec du Java, or ce dernier n’est plus fonctionnel sur les dernières versions de Firefox (blocage complet du NPAPI).

Obligé de ressortir ce navigateur moisi pour des bêtises de ce genre, on s’en passerait…

votre avatar







Jarodd a écrit :



Il suffirait dans un premier temps de désactiver l’association automatique, non ? <img data-src=" />







Ça ne fera qu’un clic supplémentaire pour l’utilisateur quand Windows lui demandera avec quoi ouvrir son fichier Emilia_Clark_Nude_HD.jpg.mht


votre avatar

En gros, là, tu es en train de cracher sur IE, alors que c’est le seul encore capable d’accéder à un site qui tourne avec d’ancien standards sur lequel ton client doit impérativement se connecter …



Perso, je cracherai plutôt sur les auteurs du site, mais bon …

votre avatar







Cashiderme a écrit :



Emilia_Clark_Nude_HD.jpg.mht





Partage ton fichier ! LOL





(Ceci était un message ironique, bien entendu …je préfère préciser, on ne sait jamais)


votre avatar

J’avais découvert le MHT il y a quelques mois, je trouve dommage que ce format n’ait pas “survécu” au temps.



Cela aurait été un format très pratique pour sauvegarder des pages statiques sans avoir des dizaines de fichiers dans un dossier “resources” juste à côté (MHT stocke les fichiers externe dans le fichier lui-même en base64 de la même manière que les mails, si je me souviens bien)



Une autre utilité aurait été de pouvoir faire des applications HTML/CSS/JS “offline” : à ce moment-là, j’avais une application web avec pas mal de JS que je voulais distribuer sous une version “offline”, et j’aurais voulu faire un seul fichier qui contient tout, plutôt que d’utiliser Electron ou de faire télécharger un zip à l’utilisateur. J’avais fait un post sur stackoverflow :https://stackoverflow.com/questions/51875233/is-there-a-thing-such-as-packaged-w…

votre avatar

Moins connu, mais il y a aussi les HTA (HTML Application).

votre avatar

Le problème n’est pas que les navigateurs récents ne puissent plus faire tourner d’anciennes applis, mais les décisions prisent lors de la mise en place de tels outils, utilisant des technologies fermées (ActiveX, …) et non pérennes. Au boulot ils nous ont lancé il y a moins d’un an un outil en Silverlight…

votre avatar

Il faut comprendre dans mon commentaire que je crache pour le coup plus sur Firefox que sur IE, car c’est à cause du blocage imposé par Firefox que je suis contraint de ressortir ce navigateur…

Après je ne vois pas ce qu’il y a de choquant qu’un site pro/public utilise du Java (surtout pour de la gestion de clef crypto), il est heureusement fini le temps des ActiveX et de certains sites institutionnels français ou l’usage de IE était obligatoire, y compris pour ceux avec accès en carte à puce 😂

Mais là, c’est Firefox qui fout la pagaille. Qu’il bloque les plugins un peu foireux, mais du Java, on est plus chez mémé qui consulte son relevé Enedis, on est chez les pros… Le risque zéro n’existe pas, mais bon de la sandbox de VM Java, c’est pas non plus la fin du monde…

votre avatar







Cashiderme a écrit :



Ça ne fera qu’un clic supplémentaire pour l’utilisateur quand Windows lui demandera avec quoi ouvrir son fichier Emilia_Clark_Nude_HD.jpg.mht





Alors il faut associer avec le bloc-notes par défaut <img data-src=" />



Quoique certains pervers doivent rechercher du pr0n ASCII ! <img data-src=" />


votre avatar







Jarodd a écrit :



Quoique certains pervers doivent rechercher du pr0n ASCII ! <img data-src=" />







Bonne “lecture” <img data-src=" />


Faille 0 day dans Internet Explorer, les détails déjà disponibles

Fermer