Les applications Web victimes d'une faille

Desktoptwo bureau virtuelUn internaute du site GNUCitizen vient de découvrir une faille importante qui affecte la grande majorité des applications en ligne. Selon lui, l’utilisation d’un protocole particulier, très répandu pour les applications Web, permet l’exploitation d’une faille de type Cross Scripting.

Ce genre de faille permet à une personne tierce d’effectuer plusieurs actions à l’insu de l’utilisateur, comme l’affichage d’un contenu externe, la redirection transparente vers une autre page ou encore le vol de données personnelles.

Une faille dangereuse

Les applications Web, et plus généralement tous les sites utilisant le protocole JAR, sont vulnérables à cette faille, selon son découvreur. Le protocole JAR permet d’extraire du contenu d’un fichier compressé, ce qui explique qu’il soit particulièrement utilisé pour les applications sur Internet. Ainsi, de nombreuses applications comme des clients mail, des systèmes de partage de fichiers ou des outils de travail collaboratifs sont des cibles de cette faille. En outre, certaines applications proposées par Google, Microsoft ou même Facebook en font partie.

Il est toutefois important de noter que cette faille ne fonctionne qu’avec Mozilla Firefox. Les solutions ne sont pour l’instant pas nombreuses pour l’éviter. Mais il y a fort à parier que les éditeurs d’applications en ligne vont se pencher sérieusement dessus pour apporter rapidement un correctif.

Notre avis : il s’agit d’une faille plutôt inattendue, mais très efficace et simple à exploiter pour quiconque a les connaissances nécessaires. Gageons que les éditeurs trouveront rapidement la parade !

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
9 commentaires
    Votre commentaire
  • Sundevil
    "Il est toutefois important de noter que cette faille ne fonctionne qu’avec Mozilla Firefox."

    Comme quoi il n'y a pas que IE qui a des failles ^^
    0
  • obi_one
    +1 sundevil même si cela me fait ch... de le dire !
    0
  • titidvp
    :D

    ==> []

    MS fournit gratuitement une librairie XSS pour les applis ASP.Net ;)

    http://www.microsoft.com/downloads/details.aspx?FamilyId=EFB9C819-53FF-4F82-BFAF-E11625130C25&displaylang=en
    0