XZombi Posté(e) le 27 mars 2004 Partager Posté(e) le 27 mars 2004 Vous vous croyez à l'abri des courriels d'infectés votre ordinateurs quand vous vous servez des webmails? (hotmail,caramail, etc...) Détrompez-vous! Il y a toujours eu des problèmes avec Internet Explorer et les Webmails. Notamment avec le javascript. ------------------------[ Description ]------------------------ The issue described here doesn't reveal a vulnerability in a specific product. But the combination of features of Internet Explorer with features of common webmail software can create a vulnerability. 1) Internet Explorer interprets stylesheets for any HTML tag, even non-existent ones. For instance : [...] 2) Internet Explorer can evaluate Javascript expressions in style sheets through the "expression" keyword: [...] 3) Due to the increase of HTML-only email, most popular webmail software can display HTML email. In this context, Javascript _must_ be removed from every email. To achieve this result, various tricks are used by webmail software :. [...] ------------------------[ Vulnerability ]------------------------ By combining 2) with 3) and if the webmail doesn't filter out stylesheets nor the "expression" keyword, any Javascript contained in a message will be executed as soon as the recipient will display it. [...] ------------------------[ Impact ]------------------------ (Vous voyez, INpact est partout ) Depending on the webmail software, complete control of the client's session may be possible. Private mail can be deleted or bounced to evil addresses, cookies and session identifiers can be stolen, etc. ------------------------[ Fix ]------------------------ For the end user, there are four ways to avoid this issue : - Don't use Internet Explorer to connect to webmails. or/and - Disable Javascript. or/and - Configure the webmail to only display mails as plain text. or/and - Only connect to webmails when you are 100% sure the software it is powered by completely filters or mangles "expression" keywords and hope that software and the version won't change silently. GreyMagic aurait en effet découvert qu'Internet Explorer utilise une commande non-standard (comme à l'habitude) qui peut être exploiter par un hacker. Bien entendu, lorsque Microsoft et compagnie ont appris cette faille,. ils ont corrigé le problème. Mais il reste que certains fournisseurs de Webmail n'ont pas encore corrigé le problème. En effet, si vous ouvrez un courriel infecté et que le serveur Webmail n'est pas fixé, un script se lance, et le hacker peut faire beaucoup de dégats, voire même prendre le contrôle du PC. La solution recommandée est d'arrêter d'utiliser les webmails ou de changer de navigateur, rien de moins. Source : http://www.securityfocus.com/news/8306 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nis Posté(e) le 27 mars 2004 Partager Posté(e) le 27 mars 2004 Bof, rien de bien nouveau. On sait bien qu'IE n'est pas le meilleur point de vue sécurité Arrêter les webmails je crois pas, ca peut servir (meme si je préfère de loin utiliser un service de messagerie via des logiciels comme Outlook, Eudora,...) Changer de navigateur, oui : Opera, Mozilla ou FireFox Y'a le choix, y'a mieux, plus sécurisé, plus beau, plus rapide, plus customisable et respectant un peu plus les standards Essayer Opera pour voir, vous ne serez pas déçu FireFox est très bien aussi, voir un peu moins beau et un peu plus difficile d'utilisation Lien vers le commentaire Partager sur d’autres sites More sharing options...
XZombi Posté(e) le 27 mars 2004 Auteur Partager Posté(e) le 27 mars 2004 Personnellement, j'utilise Mozilla, qui est gratuit, respecte les standarts et disponible sur Linux. Lien vers le commentaire Partager sur d’autres sites More sharing options...
orbitalcoil Posté(e) le 27 mars 2004 Partager Posté(e) le 27 mars 2004 des alertes de ce type on en a toutes les semaines, pas de quoi s'affoler Lien vers le commentaire Partager sur d’autres sites More sharing options...
Illusion Posté(e) le 27 mars 2004 Partager Posté(e) le 27 mars 2004 Ya toujours eu des failles au niveau des javascripts avec IE, ils en corrigent une, y'en a une autre quelques temps après... C'est cyclique... Lien vers le commentaire Partager sur d’autres sites More sharing options...
XZombi Posté(e) le 27 mars 2004 Auteur Partager Posté(e) le 27 mars 2004 Je suis d'accord, mais les webmails c'est largement utilisé par tout le monde. Si tu connaissait, passe ton chemin, j'ai mis cette info pour ceux qui ne savais pas Lien vers le commentaire Partager sur d’autres sites More sharing options...
njoyard Posté(e) le 29 mars 2004 Partager Posté(e) le 29 mars 2004 des alertes de ce type on en a toutes les semaines, pas de quoi s'affoler sauf que bcp de gens pensent qu'un webmail est bcp plus "sécurisé" qu'un client mail normal.... allez savoir pkoi.... c'est la phobie d'outlook express ça Lien vers le commentaire Partager sur d’autres sites More sharing options...
milohoffman Posté(e) le 29 mars 2004 Partager Posté(e) le 29 mars 2004 je trouve Opera excellent sauf la pub ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
XZombi Posté(e) le 29 mars 2004 Auteur Partager Posté(e) le 29 mars 2004 Ouais, c'est le pire défaut d'Opera, il est payant. Et chez moi, il plantait lamentablement quand je l'avais essayer. Lien vers le commentaire Partager sur d’autres sites More sharing options...
njoyard Posté(e) le 29 mars 2004 Partager Posté(e) le 29 mars 2004 tiens c marrant moi c firefox qui a planté à la IE quand je l'ai essayé.... mais un reboot et plus rien ! par contre y'a fallu que j'installe pas mal d'extensions pour pouvoir faire tt cke je faisais dans opera quand même.... l'avantage c'est qu'il y en a BCP des extensions sinon moi jgarde un très bon souvenir d'opera. payant, certes, mais y'a tj moyen de moyenner avec la version avec pub :) oui, je sais, je me tais. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nis Posté(e) le 29 mars 2004 Partager Posté(e) le 29 mars 2004 Et puis l'avantage avec les extensions c'est que tu ne mets que celle que tu veux Lien vers le commentaire Partager sur d’autres sites More sharing options...
XZombi Posté(e) le 29 mars 2004 Auteur Partager Posté(e) le 29 mars 2004 Bon, ne dévions pas ce post! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.