Articles avec #navigateur tag

Publié le 7 Avril 2010

Firefox : Nouvelle mise à jour du navigateur

 

 Suite à la découverte d'une faille jugée comme critique lors du concours de hacking Pwn2Own, les hackers avaient comme but de trouver des failles sur les systèmes d'exploitation et de tester les navigateurs, la fondation Mozilla propose un correctif pour la version 3.6 de son navigateur Firefox, estampillée 3.6.3.

 La vulnérabilité exploite, sous Windows 7, l'espace mémoire pour exécuter du code malveillant sur la machine de la victime ou d'en prendre le contrôle.

 Cette faille ne touche que la version 3.6, mais la version 3.5 pourrait connaître une méthode similaire, d'où la sortie d'un patch devrait prochainement être mis en ligne.

 Il est vivement recommandé de faire la mise à jour du navigateur, normalement vous devez recevoir une alerte de Firefox pour vous prévenir de la disponibilité d'une nouvelle version, dans le cas contraire vous avez plusieurs possibilités.

- Définir la mise à jour automatique
Cliquez sur le menu Outils / options / Avancé / onglet "Mises à jour"
Puis dans Rechercher automatiquement des mises à jour : cocher la case "Firefox"

- Faire la mise à jour manuellement
Windows : Cliquez sur le menu "?" puis Rechercher des mises à jour...
MAc OS : Cliquez sur le menu Aide puis Rechercher des mises à jour

- Télécharger directement sur le site officiel de Mozilla
Version pour Windows : Firefox 3.6.3
Version pour Mac OS X : Firefox 3.6.3

[Source : Mozilla]

Voir les commentaires

Rédigé par DarkNight

Publié dans #Navigateur

Repost 0

Publié le 23 Mars 2010

Firefox : victime d'une faille de sécurité
 Le mois dernier, un spécialiste en sécurité russe, Evgeny Legerov avait découvert une faille dans la nouvelle  mouture de Mozilla Firefox 3.6, repris par la société Secunia qui avait émis un avis de sécurité hautement critique (échelle 4 sur 5) au sujet de cette faille.

 La Fondation Mozilla reconnait que cette vulnérabilité concerne uniquement la nouvelle version, les versions plus  anciennes ne sont pas touchées, par contre cette faille peut être exploité par un pirate pour prendre le contrôle de  la machine de la victime afin d'exécuter du code à distance.

 Mozilla affirme qu'une correction sera proposée prochainement en téléchargement, elle sera estampillée 3.6.2

 Ironie du sort puisque ce mercredi commence durant trois jours le concours annuel de Hacking : le Pwn2Own 2010 avec au programme des défis sur les navigateurs : IE8 - Firefox - Chrome et Safari sous Windows 7. A suivre...

 En attendant le patch, soyez prudent lorsque vous surfez sur Internet : fenêtres pop-up, fenêtres d'alertes...

 Vous pouvez télécharger la verion non finalisée : Firefox 3.6.2
Et vous ?
- Comptez-vous utiliser quand même Firefox ?
- Faites- vous régulièrement les mises à jours : système - navigateur...


Source
: Mozilla - Sécunia

Articles similaires
- Firefox : Faille très critique
- Internet explorer correctif pout IE 6 et 7

Complément d'information
- Comment faire les mises à jour de Windows

Voir les commentaires

Rédigé par DarkNight

Publié dans #Navigateur

Repost 0

Publié le 3 Mars 2010

Internet Explorer : une faille exploitée par la touche F1
 Une faille vieille de trois ans a refait surface fin février. Maurycy Prodeus, chercheur en sécurité informatique à l'ISEC, avait déjà prévenu Microsoft de cet incident en février 2007, voilà qu'il annonce le "zéro Day" publiquement sur Internet, pour l'instant aucune attaque n'a été rapportée mais le risque existe.

 La vulnérabilité concerne Internet Explorer version 6, 7 et 8 sous Wondows XP, les autres versions du système, Vista et Windows 7, sont épargnés par la faille. C'est le module winhlp32.exe qui est en cause, un pirate informatique pourrait, en exploitant la fonction MsgBox() du langage VBScript, déclencher l'affichage d'une boîte de dialogue, lors de la visite d'un site piégé, qui incitera l'utilisateur à appuyer sur la touche F1, affiche le fichier d'aide d'un logiciel, pour compromettre un ordinateur.
Autres constations, l'existence d'un débordement de mémoire (stack overflow) dans le fichier.

 Voici une démonstration (inoffensive) qui montre l'exploitation de la faille.

 Microsoft a publié sur son blog une alerte de sécurité dans l'attente de mettre au point un correctif. La firme de Redmond rappelle que les fichiers Windows Help Files (.hlp) font partie de la liste des fichiers non sûrs comme les fichiers exécutables (.exe), les fichiers de commandes (.cmd, .bat) ou les fichiers scripts (.vbs, .js) car ils sont conçus pour faire appel à des actions automatiques lors d'une utilisation normale.

 La société Secunia a confirmé l'existence de la vulnérabilité, jugée comme moyenne.

Article similaire
- Firefox : Faille très critique pour le navigateur
- Internet Explorer : Deux failles en deux mois

Complément d'information
- Les différents types de malwares
- Comment faire les mises à jour du système

Voir les commentaires

Rédigé par DarkNight

Publié dans #Navigateur

Repost 0

Publié le 24 Février 2010

Firefox : Faille très critique pour le navigateur
 Il n'y a pas que Microsoft qui connait des problèmes de sécurité avec son navigateur Internet Explorer, c'est au tour de son concurrent Firefox d'être la cible potentielle de pirates. Une société russe vient de détecter une faille de type "Zero day" dans Firefox. Après avoir diffuser voici quelques jours des mises à jour de sécurité concernant les versions 3.5 et 3.0, c'est la toute nouvelle version du navigateur de Mozilla la version 3.6 de poser problème.

 C'est un chercheur russe Evgeny Legerov qui travaille pour la société de sécurité Intevydis, qui révèle la possibilité d'exploiter une vulnérabilité dans Firefox 3.6, une personne mal intentionnée pourrait prendre à distance le contrôle d'un ordinateur et injecter du code à distance.

 Evgeny indique que l'exploit fonctionne très bien "Nous avons bien joué avec dans notre labo, c'est très fiable. Cela fonctionne contre Firefox 3.6, sous XP et Vista". Ce spécialiste à utiliser un kit de test sécurité, Canvas d'Immunity, pour faire fonctionner son exploit afin de déterminer si un système d'exploitation est vulnérable.

 Pour rassurer les utilisateurs de Firefox, l'utilisation de cette faille reste au bénéfice des chercheurs en sécurité mais par précaution il est recommandé de rester vigilant et d'être prudent selon les sites visités.

 De son côté la société en sécurité Secunia classe cette vulnérabilité comme hautement critique, classée 4 sur 5.

 Mozilla déclare ne pas avoir réussi à déceler la vulnérabilité, "Mozilla prend toutes les failles de sécurité au sérieux et n'a pas encore pu confirmer la révélation de l'exploit", propos rapportées par The Register. Par contre la fondation ne désapprouve pas la contribution des chercheurs pour déceler des failles à condition  qu'il ne divulgue pas le problème sur Internet, du moins pas avant que l'éditeur ne corrige le problème, cela suppose que la fondation devrait apporter rapidement un correctif pour son navigateur.

 A noter l'augmentation des failles de Firefox spécifié sur la page de report de bugs.

Voir les commentaires

Rédigé par DarkNight

Publié dans #Navigateur

Repost 0

Publié le 2 Février 2010

Google Chrome : Chasseurs de prime à vos claviers
 Google lance sur son blog un défi au petit génie de l'informatique, aux développeurs ou aux chercheurs en sécurité informatique, puisque la firme de Mountain View propose d'attaquer son navigateur ou son projet open source sous licence BSD  "Chromium" avec à la clef une récompense qui ira de 500 dollars jusqu'à 1 337 dollars pour avoir trouver une vulnérabilité jugée comme "sévère". Exempt par contre les extensions et les plugins tiers qui se grefferont sur le navigateur.

 L'idée n'est pas nouvelle, puisqu'au sein de Google, on confirme s'être inspirée du concurrent Mozilla pour son navigateur Firefox qui fait déjà la chasse aux bugs contre rémunération.

 Par contre pour bénéficier de la somme, il y a deux conditions à remplir
- Les participants ne doivent pas divulguer la faille sur Internet sans avoir été corrigée et publiée sur le blog Chromium bug tracker

- Les participants doivent être majeurs mais en plus ils ne doivent pas être inscrit sur la liste noire des États-Unis comme la Corée du Nord, l'Iran ou encore Cuba.

 Cette proposition est une aubaine pour Google qui peut grappiller quelques parts de marché à son concurrent Microsoft après la découverte d'une faille importante sur son navigateur IE 6, d'autant qu'avec la sortie prochaine de la version 5.0 de chrome, Une préversion est disponible, elle pourra améliorer la sécurité du futur système d'exploitation Chrome OS, basé sur le noyau du navigateur.

Voir les commentaires

Rédigé par DarkNight

Publié dans #Navigateur

Repost 0

Publié le 29 Janvier 2010

Google : espion malgré lui avec sa Toolbar
 Un chercheur d'Harvard, Benjamin Edelman , vient de publié un bug dans la Toolbar de Google.

 Cette barre d'outils s'installe comme module complémentaire sur les navigateurs Internet Explorer et Firefox afin d'accéder plus rapidement à différentes fonctions classiques comme la recherche, la traduction ou de faire appel à des fonctions « Enhanced Features » telles que le PageRank (classement d'une page Web) ou Sidewiki (commenter une page Web) qui ont besoin de collecter des données pour les envoyer sur les serveurs de Google.

 Comme l'affirme ce spécialiste en sécurité informatique sur son site, lorsque la barre d'outils est désactivée, elle continue de transmette des données sur les pages Web visitées ou sur les requêtes de recherche, et de les communiquer à Google.

 Cette révélation ne surprend pas Google, car lors de l'installation de la Toolbar, il est mentionné dans les règles de confidentialité le prélèvement d’informations personnelles comme l'adresse IP ou l'exploitation de cookies... et il confirme même l’existence de ce problème pour les versions 6.3.911.1819 à 6.4.1311.42 de sa barre d'outils sous Internet Explorer 8 mais elle n’affecte pas les autres versions et navigateurs web, tels que IE 7 ou Firefox.

 Pour préserver son image dont la devise est « don't be evil », mais surtout pour éviter toute critique concernant le respect de la vie privée des internautes, Google propose une mise à jour de sa barre d'outils pour corriger ce bug. Dorénavant toute transmission de données s'interrompt dès la désactivation et sans redémarrage du navigateur.

 L'autre solution, certes plus radicale, consiste à désinstaller la barre d'outils ainsi plus aucune information ne sera transmise.

Complément d'information
- Qu'est ce qu'un Spyware ?
- Les traces sur Internet

Voir les commentaires

Rédigé par DarkNight

Publié dans #Navigateur

Repost 0

Publié le 21 Janvier 2010

Microsoft : propose un correctif pour Internet Explorer


 Microsoft avait confirmé qu'une vulnérabilité sur son navigateur Internet Explorer version 6 avait été exploitée par des pirates informatiques qui ont conduit à lancer des attaques contre Google.

 A cause d'une campagne de dénigrement, la firme de Redmond avait annoncé sur son site qu'elle mettrait en ligne prochainement un correctif permettant de corriger cette faille. Dans l'attente de voir ce patch arriver, Microsoft conseille de migrer vers Internet Explorer 8 épargnée par les attaques comme le conseille George Stathakopoulos, responsable de la sécurité informatique chez Microsoft, "Aucune des attaques que nous connaissons ne marcheront contre IE8. Cela pourrait changer, mais c'est ce que nous savons (maintenant)."

 Concernant la version 7, pour l'instant elle n'est pas touchée par cette faille mais pour combien de temps puisque des chercheurs en sécurité informatique sont parvenus à l'exploiter.

 Elles restent « vulnérables » et exposées à un « risque moyen » selon McAfee qui est à l'origine de la découverte de cette faille prend les devants en mettant à disposition gratuitement un outil « Aurora Stinger »,  il permet de détecter les infections liées à cette faille et éventuellement nettoyer l’ordinateur.

Tableau des risques D'Internet Explorer - McAfee 

Tableau récapitulatif de la vulnérabilité d’IE selon McAfee


 Chose promise chose due ! Voici le correctif qui a fait tant de buzz il porte le numéro MS10-002

 Ce patch consiste en une mises à jour des trois versions du navigateur Internet Explorer (v6 - 7 - 8) pour les systèmes Windows XP, Vista, Windows 7, Server 2003, 2008 et 2008 R2.

 Microsoft recommande toutefois d'utiliser le service de mises à jour de Windows pour récupérer et installer automatiquement le correctif ou en visitant le site web Windows Update

Complément d'information
- Comment faire la mise à jour de Windows ? 
- Téléchargement d'Antivirus gratuit

Voir les commentaires

Rédigé par DarkNight

Publié dans #Navigateur

Repost 0

Publié le 19 Janvier 2010

Internet Explorer : une faille impliquée dans l'attaque contre Google


 Après l'attaque informatique contre Google et d'autres entreprises sur le territoire Chinois, McAfee a analysé cette attaque et a découvert son nom de code : Aurora.  Cette faille utilise un exploit de type "0 day", une vulnérabilité critique qui est inconnue et non documentée au moment de son exploitation par des cybercriminels. Cette faille exploitée dans le navigateur de microsoft serait à l'origine des attaques sur Google.

 Dans un communiqué McAfee mentionne que cette attaque n'est pas l'oeuvre d'amateur vu son niveau technique sophistiqué pour éviter toute détection par des outils de protection. Mais heureusement l'utilisation d'Aurora a servi pour des attaques sur des personnes très ciblées, environ une dizaine.  Par contre d'autres experts en sécurité comme F-secure ou Idefense avancent une autre hypothèse : l'exploitation d'une faille critique dans Adobe Acrobat.

Vérifier votre niveau de sécurité

 Microsoft confirme l'exploitation d'une faille inconnue sur Internet Explorer version 6 (IE6) pour mener ces attaques. Dans un bulletin d'alerte, Microsoft précise que la vulnérabilité concerne toutes les versions d'Internet Explorer (6, 7 et 8), et affecte Windows 2000, XP, Vista, Server 2003, Server 2008, Server 2008 R2 et même Windows 7. 
 Dans l'attente d'un correctif, Microsoft conseille d'élever le niveau du navigateur en configurant la zone de sécurité Internet à «Élevé», ainsi que d'activer la fonction DEP (Data Execution Prevention) paramétrée par défaut depuis Windows XP SP3 et dans IE8, mais à faire manuellement pour les versions antérieures. 

 Microsoft doit faire face à une campagne de dénigrement depuis la parution de cette faille notamment de la part
- de l'Allemagne qui dans un communiqué de presse de l'Office Fédéral Allemand pour la Sécurité des Systèmes d'Information (BSI) déconseille vivement l’utilisation d’Internet Explorer et conseille de le remplacer par des navigateurs alternatif comme Firefox, chrome ou Opéra.
- Idem pour le Certa français (Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques), qui recommande aussi d'utiliser d'autres navigateurs autre qu'Internet Explorer
Pour éviter de salir son image, Microsoft n'a d'autre possibilité que de publier rapidement un patch de sécurité.

Tableau risque navigateur Internet Explorer


Tableau récapitulatif de la vulnérabilité d’IE selon Microsoft

Les conséquences pour l'internaute

 Pour utiliser la faille du navigateur, les pirates mettent en place la méthode du phishing en envoyant des emails contenant un lien vers une page spécialement conçue pour exploiter la vulnérabilité. Si l'internaute clique sur ce lien, celui-ci télécharge un logiciel (BackDoor) qui s'installe sur sa machine ce qui laisse la porte ouverte pour installer d'autres programmes ou de prendre le contrôle de la machine pour accéder à des informations sur la machine locale.


Articles similaires
- Réaction de Google après les attaques informatiques
- Google veut quitter la chine suite aux attaques informatiques

Complément d'information
- Comment faire la mise à jour de Windows

Voir les commentaires

Rédigé par DarkNight

Publié dans #Navigateur

Repost 0