Vulnérabilité du Glisser/Déposer sous Internet Explorer

La faille découverte ce mois-ci dans la gestion des événements Drag and Drop (Glisser Déposer) peut s’avérer, de part son manque de sécurité, être exploité par un site Web malintentionné afin d’y glisser un fichier malicieux dans le répertoire de démarrage de l'utilisateur connecté, ce qui permettra son exécution automatique au prochain démarrage de Windows.

Les versions d’Internet Explorer 5.01, 5.5 et 6 sont vulnérables. Même le patch SP2 sous XP n’apporte aucun correctif à ce sujet.

Cette vulnérabilité, nécessitant toutefois une interaction avec l’utilisateur, est jugé moyenne voir critique si cette exploitation venait à être automatique ou semi-automatique par la suite.

Aucune solution pour l’instant.

Ce lien, proposé par K-OTik, vous permettre de tester cette vulnérabilité.

Source : ECHU.ORG
Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
16 commentaires
    Votre commentaire
  • SpoS@IDN
    Apres avoir fait le test sous le SP2 , windows me demande si je veut telecharger le fichier "vousetesvulnerable.exe" fichier et il ne me le copie pas dans le dossier indiqué ...
    0
  • cheliel
    Pour ma part j'ai fais le test avec Windows XP SP1.

    Il le copie où???

    Non je viens de le tester sous SP2 et il le copie bien à l'endroit voulu.

    De plus les tests effectuées sur Mozilla et Avant Browser confirment qu'ils ne sont pas vulnérables à ce type d'attaque.
    0
  • Pho3nX@IDN
    LOL, je me suis dit "ca marche pas, pas la faille moi !" mais en fait je me rappellais plus.... Je suis sous FireFox 0.9.3 :ptdr:
    0