Faille de IE 6.0

[xinehpphenix]

Initialement publiée sur le Bugtrack, une faille d’IE 6.0 continue de faire l’objet de recherches de la part de son inventeur, Marek Bialoglowy.

Sans le moindre code complexe, uniquement en générant un « flood » de plus de 190 requêtes d’exécution innocentes, l’on parvient à saturer la table de zone du navigateur et lancer ensuite une application un peu plus « musclée » et néfaste, explique Bialoglowy dans un complément d’information paru sur le Full Disclosure. L’interprétation du mécanisme fait encore l’objet de discutions byzantines sur le NT Bugtrack.

Cependant, Cooper reconnaît que, malgré un manque de réaction de sa part lors des premières annonces, le problème est préoccupant. Le dénommé « http-equiv » a même récemment plus que confirmé la dangerosité du défaut et propose une preuve de faisabilité sur le site Malware ( Attention, l’appel du lien lance automatiquement le flood). Ce qui déconcerte, dans ce cas précis, c’est la simplicité avec laquelle il est possible de lancer un exécutable à distance. Une simplicité qui mérite que l’on qualifie le problème de critique. Un correctif rapide serait le bienvenu.

 

Aller ici et clicker sur le "site de Malware" et vous verrez, c'est assez troublant ( pour arréter le "phénomène" arréter votre navigateur )

 

Pour ce qui parle anglais c'est ici

 

D'après ce que j'ai compris il y a pas en de solution.

[xinehpphenix]

Désoler pour le doublon, je sais pas ce qui sait passé.

Si un modérateur pouvait effacer l'autre post se serait bien.

Modifié le 20 mai 2003 par xinehpphenix