Préparez vos kleenex, un nouvel exploit assez sympathique a été mis à jour pour quasi tous les navigateurs.... sauf Internet Explorer!
Que vous utilisiez FireFox, Camino, Mozilla, Safari, Opera ou Omniweb, ils sont tous vulnérables à une faille due à l'IDN (International Domain Name). L'IDN, c'est ce qui a été ajouté pour permettre aux gens de surfer sur des sites avec des caractères locaux dans les noms de domaines. Avec l'IDN, il serait donc possible en théorie d'accepter des domaines comme http://www.météo.be. Pour le moment, seuls quelques pays l'utilisent comme le Japon et l'Allemagne.
L'exploit, grâce à cette fonctionnalité, consiste donc à faire croire qu'une adresse en est une autre en utilisant tous les caractères disponibles grâce à l'IDN. De ce fait, une même représentation d'un caractère peut avoir plusieurs codes et donc plusieurs adresses visuellement identiques.
La seule solution actuelle serait de désactiver l'IDN, ce qui serait possible via le "about:config" de Firefox, mais de nombreuses personnes reportent que cette modification dans les options ne serait pas efficace. Reste à attendre une mise à jour donc pour Firefox. Du côté de chez Opera par contre, on affirme que ce problème n'en est pas un et ils laissent entendre qu'ils ne feront rien pour le corriger... Joli!
Merci à gizmo pour les précisions!
Que vous utilisiez FireFox, Camino, Mozilla, Safari, Opera ou Omniweb, ils sont tous vulnérables à une faille due à l'IDN (International Domain Name). L'IDN, c'est ce qui a été ajouté pour permettre aux gens de surfer sur des sites avec des caractères locaux dans les noms de domaines. Avec l'IDN, il serait donc possible en théorie d'accepter des domaines comme http://www.météo.be. Pour le moment, seuls quelques pays l'utilisent comme le Japon et l'Allemagne.
L'exploit, grâce à cette fonctionnalité, consiste donc à faire croire qu'une adresse en est une autre en utilisant tous les caractères disponibles grâce à l'IDN. De ce fait, une même représentation d'un caractère peut avoir plusieurs codes et donc plusieurs adresses visuellement identiques.
La seule solution actuelle serait de désactiver l'IDN, ce qui serait possible via le "about:config" de Firefox, mais de nombreuses personnes reportent que cette modification dans les options ne serait pas efficace. Reste à attendre une mise à jour donc pour Firefox. Du côté de chez Opera par contre, on affirme que ce problème n'en est pas un et ils laissent entendre qu'ils ne feront rien pour le corriger... Joli!
Merci à gizmo pour les précisions!
Liens
Alerte Secunia Opera (633 Clics)
Alerte Secunia Firefox (483 Clics)
Plus d'actualités dans cette catégorie
Commentaires
cauet:
Un exploit pour quasi tous les navigateurs qui ne toucherait pas Intern...
j'suis à court de mots là ..
autant rien dire
autant rien dire
gizmo:
Un exploit pour quasi tous les navigateurs qui ne toucherait pas Intern...
Euh, la news est fausse ici. Il ne s'agit pas d'une faille de l'IDN mais bien d'un oubli lors de la conception. L'exemple cité ne pourra en aucun cas fonctionner.
L'astuce réside dans le fait que l'IDN utilise les caractères unicode pour encoder les url et plus simplement les caractères ASCII. Du coup, il se fait que dans la table unicode, certains caractères sont indisociables visuellement, comme le "a" latin et le "a" cyrillique. Aussi, quand quelqu'un met un lien vers un site paypal, il peut très bien pointer vers site enrigistré comme paypal mais dont l'un des "a" a été encodé en cyrillique au lieu d'être encodé en latin.
Résultat, l'utilisateur n'y voit que du feu car les deux adresses sont visuellement identiques.
Evidemment, cela ne fonctionne pas pour tous les caractères. Cette "faille" est donc extrèmement limité dans son usage car elle nécessite l'enregistrement d'un nom de domaine disposant de cette particularité pour fonctionner.
L'astuce réside dans le fait que l'IDN utilise les caractères unicode pour encoder les url et plus simplement les caractères ASCII. Du coup, il se fait que dans la table unicode, certains caractères sont indisociables visuellement, comme le "a" latin et le "a" cyrillique. Aussi, quand quelqu'un met un lien vers un site paypal, il peut très bien pointer vers site enrigistré comme paypal mais dont l'un des "a" a été encodé en cyrillique au lieu d'être encodé en latin.
Résultat, l'utilisateur n'y voit que du feu car les deux adresses sont visuellement identiques.
Evidemment, cela ne fonctionne pas pour tous les caractères. Cette "faille" est donc extrèmement limité dans son usage car elle nécessite l'enregistrement d'un nom de domaine disposant de cette particularité pour fonctionner.
cauet:
Un exploit pour quasi tous les navigateurs qui ne toucherait pas Intern...
Pas mal, merci pour l'explication détaillée !
zion:
Un exploit pour quasi tous les navigateurs qui ne toucherait pas Intern...
Bon, la news est mise à jour, faudra attendre que le cache se change
Mais j'étais pas loin quand même, et
Sinon, la réponse d'Opera:
https://bugzilla.mozilla.org/show_bug.cgi?id=279099#c4
Mais j'étais pas loin quand même, et
Sinon, la réponse d'Opera:
https://bugzilla.mozilla.org/show_bug.cgi?id=279099#c4
gizmo:
Un exploit pour quasi tous les navigateurs qui ne toucherait pas Intern...
bah dans sa réponse, le mec d'opera a pas totalement tort. Encore une fois, ca confirme tout le bien que je pense de verisign et de ses .com/.net
antp:
Un exploit pour quasi tous les navigateurs qui ne toucherait pas Intern...
Y a pas que dans les browsers que l'IDN pose des problèmes. Dans Kelare aussi ; le lien météo.be est mal détecté
zion:
Un exploit pour quasi tous les navigateurs qui ne toucherait pas Intern...
normal, j'ai coupé l'IDN en protection