09/02/2005 @ 15:10:44: Navigateurs - Un exploit pour quasi tous les navigateurs qui ne toucherait pas Internet Explorer?
Préparez vos kleenex, un nouvel exploit assez sympathique a été mis à jour pour quasi tous les navigateurs.... sauf Internet Explorer!
Que vous utilisiez FireFox, Camino, Mozilla, Safari, Opera ou Omniweb, ils sont tous vulnérables à une faille due à l'IDN (International Domain Name). L'IDN, c'est ce qui a été ajouté pour permettre aux gens de surfer sur des sites avec des caractères locaux dans les noms de domaines. Avec l'IDN, il serait donc possible en théorie d'accepter des domaines comme
http://www.météo.be. Pour le moment, seuls quelques pays l'utilisent comme le Japon et l'Allemagne.
L'exploit, grâce à cette fonctionnalité, consiste donc à faire croire qu'une adresse en est une autre en utilisant tous les caractères disponibles grâce à l'IDN. De ce fait, une même représentation d'un caractère peut avoir plusieurs codes et donc plusieurs adresses visuellement identiques.
La seule solution actuelle serait de désactiver l'IDN, ce qui serait possible via le "about:config" de Firefox, mais de nombreuses personnes reportent que cette modification dans les options ne serait pas efficace. Reste à attendre une mise à jour donc pour Firefox. Du côté de chez Opera par contre, on affirme que ce problème n'en est pas un et ils laissent entendre qu'ils ne feront rien pour le corriger... Joli!
Merci à gizmo pour les précisions!
Alerte Secunia Opera: http://secunia.com/advisories/14154/
Alerte Secunia Firefox: http://secunia.com/advisories/14163/
j'suis à court de mots là ..
autant rien dire
Dernière édition: 09/02/2005 @ 15:25:18
Euh, la news est fausse ici. Il ne s'agit pas d'une faille de l'IDN mais bien d'un oubli lors de la conception. L'exemple cité ne pourra en aucun cas fonctionner.
L'astuce réside dans le fait que l'IDN utilise les caractères unicode pour encoder les url et plus simplement les caractères ASCII. Du coup, il se fait que dans la table unicode, certains caractères sont indisociables visuellement, comme le "a" latin et le "a" cyrillique. Aussi, quand quelqu'un met un lien vers un site paypal, il peut très bien pointer vers site enrigistré comme paypal mais dont l'un des "a" a été encodé en cyrillique au lieu d'être encodé en latin.
Résultat, l'utilisateur n'y voit que du feu car les deux adresses sont visuellement identiques.
Evidemment, cela ne fonctionne pas pour tous les caractères. Cette "faille" est donc extrèmement limité dans son usage car elle nécessite l'enregistrement d'un nom de domaine disposant de cette particularité pour fonctionner.
Dernière édition: 09/02/2005 @ 15:51:43
Pas mal, merci pour l'explication détaillée !
bah dans sa réponse, le mec d'opera a pas totalement tort. Encore une fois, ca confirme tout le bien que je pense de verisign et de ses .com/.net
Y a pas que dans les browsers que l'IDN pose des problèmes. Dans Kelare aussi ; le lien météo.be est mal détecté
normal, j'ai coupé l'IDN en protection
