Faille de l'objet XMLHttpRequest

8 réponses

Auteur	Message
Bool \| Modérateur Inscrit le : 09/05/2005	# Le 30/09/2005 à 15:04 source : http://www.pcinpact.com/actu/news_multi/23859.htm L’objet XMLHttpRequest a été créé initialement par Microsoft pour Internet Explorer, pour ensuite être adopté par d’autres navigateurs (Mozilla, Konqueror, Safari et Opéra). Comme l’indique la page qui lui est consacrée par Openweb cet objet « permet de faire des requêtes HTTP afin de récupérer des données au format XML qui pourront être intégrées à un document ». Son utilité première sera ainsi de pouvoir mettre à jour une page de données, sans recharger la page en entier, d’où un gain de bande passante. Le hic est que cet objet est parfois frappé de failles. Au mois de juin, ainsi, nous évoquions l’existence de plusieurs failles dans Opera. L’une d’elles concernait spécialement cet objet XMLHttpRequest. Exploitée habilement, elle permettait d'accéder à des ressources externes au domaine pour lequel l'objet avait été ouvert. Plus récemment, Firefox connaissait une déconvenue similaire et liée à une mauvaise gestion des entêtes malformées envoyées avec cet objet. Internet Explorer est à son tour frappé pour une défaillance sur cet objet, comme l'a découvert Amit Klein. L’attaque permet là encore de « malformer » des requêtes http, imiter un site légitime ou encore accéder à des données situées dans le cache du navigateur, etc. Classée "modérément critique" par Secunia (elle exige un lot de conditions pour être applicable, notamment la présence d’un proxy), la faille en question peut être contrecarrée en plaçant le niveau de sécurité du navigateur au maximum. La vulnérabilité a été confirmée sur les systèmes à jour avec IE 6.0 sous XP SP2, mais d’autres versions seraient impactées. Selon Zdnet UK, Microsoft n’aurait que moyennement apprécié ce full disclosure, et l’éditeur enquête actuellement sur cette faille pour proposer sous peu une rustine. Il n’aurait cependant pas eu écho d’une exploitation malicieuse de ce bug, à ce jour. PS : je n'ai pas lu hein... c'est juste pour prévenir... daevel : infogérance et conseil \|\| moi
flush \| Jean-Philippe Modérateur Inscrit le : 09/05/2005	# Le 30/09/2005 à 16:03 en gros il faut pas utiliser IE ^^ @+ Jean-Philippe
radins \| Tobias Modérateur Inscrit le : 09/05/2005	# Le 30/09/2005 à 16:13 > l’existence de plusieurs failles dans Opera Ni Opera.. Ni Firefox.. et le mieux serait de jeter l'ordi par la fenêtre, sinon on risque d'attraper un virus.. faut vite contacter TF1, qu'ils informent les pauvres Français de ce danger..
LePhasme \| Guillaume Membre Inscrit le : 09/05/2005	# Le 30/09/2005 à 16:40 Oui vas y Radins t'as des contacts toi dans la Télé... Paris Apartments Rentals Avertisseur Autonome de Fumee Viadeo
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 30/09/2005 à 16:44 flush : tu peux utiliser n'importe quel navigateur du moment que les failles soient corrigées. Vu l'importance de cette technologie pour Microsoft, la mise à jour d'IE ne devrait pas tarder à arriver... PS : j'ai toujours entendu dire qu'il y a une vingtaine de failles connues et non corrigées dans IE. Mais je n'ai jamais trouvé (ni beaucoup cherché) la "liste" de ces failles... quelqu'un aurait un lien ? daevel : infogérance et conseil \|\| moi
Julgates \| Julien Administrateur Inscrit le : 09/03/2005	# Le 30/09/2005 à 19:05 en meme temps pour avoir lu en speed il faut plein de causes réunies (proxy, ie, site faillé, etc etc) Shopping Time Network - Founder / CTO
erwinol \| Erwin Membre Inscrit le : 09/05/2005	# Le 30/09/2005 à 19:50 PS : j'ai toujours entendu dire qu'il y a une vingtaine de failles connues et non corrigées dans IE. Mais je n'ai jamais trouvé (ni beaucoup cherché) la "liste" de ces failles... quelqu'un aurait un lien ? Les failles fantômes des produits MicroSoft. On est à une époque où "ça fait bien" de dire qu'il y a des failles dans leurs produits ... il ne faut pas y accorder trop de crédit. C'est rarement vrai
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 30/09/2005 à 20:30 ouep Julgates, j'ai également lu, et c'est un peu "capilo-tracté" comme faille... m'enfin. erwinol : c'est également ce que je pensais... mais quand j'ai vu des sites comme standblog en parler, bah... ça me semble nettement plus crédible. daevel : infogérance et conseil \|\| moi
radins \| Tobias Modérateur Inscrit le : 09/05/2005	# Le 30/09/2005 à 21:57 LePhasme a dit : Oui vas y Radins t'as des contacts toi dans la Télé... Pas avec TF1.. c'est la seule chaîne hertzienne (à part arte) qui n'a pas encore parlé de mon site.. (comme quoi je fais de la qualité.. haha)

Auteur

Message

Bool |
Modérateur

Inscrit le : 09/05/2005

# Le 30/09/2005 à 15:04

source : http://www.pcinpact.com/actu/news_multi/23859.htm

L’objet XMLHttpRequest a été créé initialement par Microsoft pour Internet Explorer, pour ensuite être adopté par d’autres navigateurs (Mozilla, Konqueror, Safari et Opéra). Comme l’indique la page qui lui est consacrée par Openweb cet objet « permet de faire des requêtes HTTP afin de récupérer des données au format XML qui pourront être intégrées à un document ». Son utilité première sera ainsi de pouvoir mettre à jour une page de données, sans recharger la page en entier, d’où un gain de bande passante.

Le hic est que cet objet est parfois frappé de failles. Au mois de juin, ainsi, nous évoquions l’existence de plusieurs failles dans Opera. L’une d’elles concernait spécialement cet objet XMLHttpRequest. Exploitée habilement, elle permettait d'accéder à des ressources externes au domaine pour lequel l'objet avait été ouvert. Plus récemment, Firefox connaissait une déconvenue similaire et liée à une mauvaise gestion des entêtes malformées envoyées avec cet objet.

Internet Explorer est à son tour frappé pour une défaillance sur cet objet, comme l'a découvert Amit Klein. L’attaque permet là encore de « malformer » des requêtes http, imiter un site légitime ou encore accéder à des données situées dans le cache du navigateur, etc. Classée "modérément critique" par Secunia (elle exige un lot de conditions pour être applicable, notamment la présence d’un proxy), la faille en question peut être contrecarrée en plaçant le niveau de sécurité du navigateur au maximum. La vulnérabilité a été confirmée sur les systèmes à jour avec IE 6.0 sous XP SP2, mais d’autres versions seraient impactées. Selon Zdnet UK, Microsoft n’aurait que moyennement apprécié ce full disclosure, et l’éditeur enquête actuellement sur cette faille pour proposer sous peu une rustine. Il n’aurait cependant pas eu écho d’une exploitation malicieuse de ce bug, à ce jour.

PS : je n'ai pas lu hein... c'est juste pour prévenir...

daevel : infogérance et conseil || moi

flush | Jean-Philippe
Modérateur

Inscrit le : 09/05/2005

# Le 30/09/2005 à 16:03

en gros il faut pas utiliser IE ^^

@+ Jean-Philippe

radins | Tobias
Modérateur

Inscrit le : 09/05/2005

# Le 30/09/2005 à 16:13

> l’existence de plusieurs failles dans Opera

Ni Opera.. Ni Firefox.. et le mieux serait de jeter l'ordi par la fenêtre, sinon on risque d'attraper un virus.. faut vite contacter TF1, qu'ils informent les pauvres Français de ce danger..

LePhasme | Guillaume
Membre

Inscrit le : 09/05/2005

# Le 30/09/2005 à 16:40

Oui vas y Radins t'as des contacts toi dans la Télé...

Paris Apartments Rentals Avertisseur Autonome de Fumee Viadeo

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 30/09/2005 à 16:44

flush : tu peux utiliser n'importe quel navigateur du moment que les failles soient corrigées. Vu l'importance de cette technologie pour Microsoft, la mise à jour d'IE ne devrait pas tarder à arriver...

PS : j'ai toujours entendu dire qu'il y a une vingtaine de failles connues et non corrigées dans IE. Mais je n'ai jamais trouvé (ni beaucoup cherché) la "liste" de ces failles... quelqu'un aurait un lien ?

daevel : infogérance et conseil || moi

Julgates | Julien
Administrateur

Inscrit le : 09/03/2005

# Le 30/09/2005 à 19:05

en meme temps pour avoir lu en speed il faut plein de causes réunies (proxy, ie, site faillé, etc etc)

Shopping Time Network - Founder / CTO

erwinol | Erwin
Membre

Inscrit le : 09/05/2005

# Le 30/09/2005 à 19:50

PS : j'ai toujours entendu dire qu'il y a une vingtaine de failles connues et non corrigées dans IE. Mais je n'ai jamais trouvé (ni beaucoup cherché) la "liste" de ces failles... quelqu'un aurait un lien ?

Les failles fantômes des produits MicroSoft. On est à une époque où "ça fait bien" de dire qu'il y a des failles dans leurs produits ... il ne faut pas y accorder trop de crédit. C'est rarement vrai

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 30/09/2005 à 20:30

ouep Julgates, j'ai également lu, et c'est un peu "capilo-tracté" comme faille... m'enfin.

erwinol : c'est également ce que je pensais... mais quand j'ai vu des sites comme standblog en parler, bah... ça me semble nettement plus crédible.

daevel : infogérance et conseil || moi

radins | Tobias
Modérateur

Inscrit le : 09/05/2005

# Le 30/09/2005 à 21:57

LePhasme a dit :
Oui vas y Radins t'as des contacts toi dans la Télé...

Pas avec TF1.. c'est la seule chaîne hertzienne (à part arte) qui n'a pas encore parlé de mon site.. (comme quoi je fais de la qualité.. haha)

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.