La position du Cert-IST sur l'état des vulnérabilités des navigateurs
Date : 17 Juin 2005
A l'occasion de la correction de la faille "IFRAME" sur Microsoft Internet Explorer (IE), le magazine ZDNet.fr a rendu compte le 02 décembre de la position du Cert-IST sur l'état des vulnérabilités en cours des navigateurs Internet.
Cette position était issue de l'analyse qui a été transmise aux membres du Cert-IST sur la liste "Vuln-coord" au cours du mois de novembre 2004. Le premier mail était l'analyse sur 3 mois de l'état de vulnérabilité d'Internet Explorer, le second celui des Navigateurs de Mozilla avec un tableau de synthèse comparé.
Nous avons jugé intéressant de récapituler ces informations à l'occasion du bulletin et vous en trouverez ci dessous le texte intégral.
1 - Analyse des vulnérabilités d' Internet Explorer (mail du mardi 23/11/2004)
De nombreuses failles ont été découvertes récemment sur le navigateur web "Internet Explorer 6.0" de Microsoft. De notre point de vue, certaines sont importantes, alors que d'autres le sont beaucoup moins.
Par contre toutes reçoivent une attention médiatique importante (par exemple dans des publications comme "ZDNet", "Reseau&Telecom/CSO", "Le Monde"...).
Nous faisons ci-dessous un bilan de ces failles.
Microsoft n'a pas encore publié de correctifs pour ces failles [Nota : La faille [1] a été corrigée depuis le 23/11/2004]. Il existe cependant pour certaines des palliatifs.
Les failles "sans solution" que nous jugeons critiques font l'objet d'un avis Cert-IST. Lorsque le risque augmente, nous émettons aussi une note "Danger Potentiel" ou une "Alerte".
Les failles "sans solution" et moins critiques sont publiées par le canal "Vuln-coord" ou listées dans le fichier hebdomadaire des failles en cours d'investigation. Par contre nous suivons quotidiennement l'évolution de ces failles et ré-évaluons leur criticité en fonction des nouvelles informations disponibles.
Failles "critiques" d'Internet Explorer
[1] Vulnérabilité dans la gestion des tags "IFRAME" sous Microsoft Internet Explorer 6.0
Réf Cert-IST : avis CERT-IST/AV-2004.339
Il s'agit de la dernière faille critique pour laquelle nous avons émis un "Danger Potentiel" (CERT-IST/DG-2004.010) le 23/11/2004.
Nota : Cette faille a été corrigée depuis le 23/11/2004.
[2] Deux vulnérabilités dans le navigateur web Microsoft Internet Explorer 5.x et 6
Réf Cert-IST : avis CERT-IST/AV-2004.321
Il s'agit d'une variante de l'attaque "drag&drop" (avis CERT-IST/AV-2004.305) qui avait été corrigée par Microsoft. Cette variante est par contre non corrigée.
5 dernières "autres failles" de Internet Explorer
Ces failles font l'objet d'un suivi par le Cert-IST, mais nous n'avons pas publié d'information dessus (hormis dans le fichier hebdomadaire des failles "en cours d'investigation") car le niveau de risque ne nous parait pas suffisant.
Ces failles prises seules ne nous semblent pas mettre en danger le poste de l'utilisateur. Par contre, dans le futur, il se peut que des combinaisons de failles de ce types permettent une action réellement dangereuse. Dans ce cas, une information sur le sujet sera émise par le Cert-IST.
[3] 2 vulnérabilités dans IE 6.0 SP2 permettent de télécharger "discrètement" un fichier malicieux
Réf. Cert-IST : SF-2004.200
Autres référence : http://www.securityfocus.com/bid/11686
Description :
Si l'option "Masquer les extensions connues" est activée (ce qui est courant), les deux vulnérabilités combinées peuvent permettre de télécharger un fichier ".exe" en faisant croire que c'est un fichier ".html". Par contre, tous les tests que nous avons fait montrent que le téléchargement provoque toujours l'apparition d'une bannière demandant si l'on veut sauvegarder le fichier.
Analyse :
Le fait que le téléchargement soit explicite (bannière) fait que la faille n'est pas critique.
[4] Accès illégal (en écriture) aux cookies de Internet Explorer 6 SP1
Réf Cert-IST : SF-2004.198
Autres références :
http://www.lac.co.jp/business/sns/intelligence/SNSadvisory_e/79_e.html
Description :
Dans des conditions bien particulières, un site malicieux peut écraser des cookies sur le poste de l'utilisateur. Cela peut permettre de voler une session d'un utilisateur et ainsi d'accéder illégalement aux sites sur lesquels l'utilisateur a un compte (attaque par "cookie fixation").
Il faut des conditions très particulières : le site attaqué doit :
- supporter les "wildcard domains"
- ou avoir un nom qui contient le nom du site malicieux.
Analyse :
Le même résultat peut être obtenu par une attaque de type "Cross-site scripting". Les conditions sont particulières. La faille ne nous parait pas critique. Elle peut par contre servir pour faire du "phishing".
[5] Plusieurs cas de "spoofing" d'URL sous IE 6
Réf Cert-IST : SF-2004.197
Autres références :
http://secunia.com/advisories/13156
http://archives.neohapsis.com/archives/bugtraq/2004-11/0113.html
http://secunia.com/advisories/13015/
Description :
Plusieurs "syntaxes" HTML ont été découvertes pour faire afficher sous Internet Explorer 6.0 un nom de site incorrect lorsque l'on clique sur un lien :
- Balise "<HREF" avec un fichier "Flash" malicieux
- Balise "<HREF" avec un tableau contenant un lien malicieux
Analyse :
Ces failles permettent de faire du "phishing". Il s'agit d'attaque par "ingénierie sociale" plutôt que de failles critiques.
[6] Spoofing d'URL sous IE (découvert par Benjamin Tobias Franz)
Réf Cert-IST : SF-2004.184
Autres références :
http://archives.neohapsis.com/archives/bugtraq/2004-11/0042.html
http://www.kb.cert.org/vuls/id/925430
Description :
Un site web malicieux peut masquer l'URL dans la barre d'état, même lorsque le support JavaScript a été désactivé.
Analyse :
Même analyse que pour la faille [5].
[7] Vulnérabilité sous Internet Explorer permettant d'accéder aux sources XML de n'importe quel site
Réf Cert-IST : SF-2004.161
Autres références :
http://www.guninski.com/where_do_you_want_billg_to_go_today_1.html
http://archives.neohapsis.com/archives/ntbugtraq/2004-q4/0059.html
Description :
M. Guninski indique qu'un vieux bug (2002 / IE 5) a ressurgi dans la dernière version de IE. Ce bug permet de lire le source XML de fichiers se trouvant sur un site tiers. Les informations disponibles ne nous permettent pas de déterminer la portée exacte de la faille.
Analyse :
La conséquence de la faille n'est pas clairement établie. Il est indispensable d'attendre des informations supplémentaires.
2 - Analyse des vulnérabilités des navigateurs de Mozilla (mail du vendredi 26/11/2004)
Suite à notre message sur les vulnérabilités "Internet Explorer", nous avons eu des demandes pour faire le même type de bilan sur le navigateur web Mozilla.
Le bilan que nous faisons concerne essentiellement les versions de "Mozilla" (tel qu'il nous avait été explicitement demandé), mais nous prenons aussi l'initiative d'analyser l'impact éventuel sur le produit "Firefox" (aussi développé par "Mozilla.org") dont la version 1.0 est parue le 09 novembre 2004.
Le Cert-IST a décidé d'entamer le suivi de Firefox v1.0 et il n'existe plus pour l'instant, à notre connaissance, de faille non corrigée affectant la version 1.0 de ce navigateur .
Nous rappelons que :
- Mozilla est un ensemble d'outils de communication web, client de messagerie, .... La dernière version est la version 1.7.3 (sortie le 14/09/2004). La version 1.8 est attendue pour le mois de décembre 2004.
- Firefox est un navigateur web autonome. La dernière version est la 1.0 (sortie le 09/11/2004).
Récapitulatif :
Pour ce qui de Mozilla, il y a pour nous 6 failles non corrigées de criticité peu élevée dont 0 (zéro) faille critique. Nous listons ci-après le descriptif des 6 failles non corrigées.
A noter que ces 6 failles couvrent une période de temps de l'ordre de 3 mois (du 27 août à ce jour). Les 7 failles que nous avons identifiées précédemment pour Internet Explorer couvrent, elles, une période de 2 mois (du 11 octobre à ce jour). On ne peut donc pas dire qu'il y ait autant de failles en cours de correction dans Mozilla que dans Internet Explorer. Sur une période de temps comparable, il n'y aurait que 5 failles Mozilla.
Pour ce qui de Firefox, il n'existe plus pour l'instant au 25 novembre, à notre connaissance, de faille non corrigée affectant la version 1.0 de ce navigateur.
Navigateurs | Mozilla | Firefox | IE* |
Failles non corrigées | 6 | 0 | 7 |
(dont) Criticité élevée | 0 | 0 | 2 |
* Nota : L'une des deux failles de criticité élevée a été corrigée entre temps ("IFRAME").
Les 6 failles non corrigées affectant MOZILLA 1.6 ou 1.7 :
Remarque : La plus préoccupante des failles est pour nous la vulnérabilité [2].
[1] Vulnérabilités dans la gestion des onglets de plusieurs navigateurs web
Réf Cert-IST : avis CERT-IST/AV-2004.320
Description :
Voir l'avis du Cert-IST
Analyse :
Nous considérons cette faille comme mineure. Elle permet cependant des attaques de type "phishing" (attaque par "ingénierie sociale").
[2] "Web browsers - a mini-farce" : des tests automatiques ont identifié de multiples vulnérabilités (dont des débordements mémoire) dans IE et Mozilla
Réf Cert-IST : SF-2004.173 (18-oct-04)
Autres réf :
http://www.securityfocus.com/archive/1/379537/2004-10-24/2004-10-30/1
http://lcamtuf.coredump.cx/mangleme/gallery/
http://www.securiteam.com/tools/6Z00N1PBFK.html
Description :
L'outil MangleMe permet de tester le comportement des browsers face à des pages HTML mal formées. Résultat : des vulnérabilités dans IE et Mozilla. Par exemple, débordement mémoire sous IE avec ""<IFRAME SRC=AAAAAAAAAAAA.... NAME=""BBBBBBBBBBB...."">""
Analyse :
C'est l'outil qui a mis le doigt sur la faille "IFRAME" de IE. Dans le même test, des vulnérabilités ont été identifiées dans Mozilla, mais apparemment personne ne s'y est vraiment intéressé. Il faut suivre l'évolution de cette faille, qui potentiellement pourrait devenir un risque majeur.
[3] Vulnérabilité dans Mozilla 1.7.x et ThunderBird 0.x permettant l'énumération des adresses e-mail
Réf Cert-IST : SF-2004.183 (03-nov-04)
Autres réf : http://secunia.com/advisories/13086
Description :
Mozilla et ThunderBird se comportent de façon spécifique vis-à-vis de certains tags HTML. Cela peut permettre à un spammeur de vérifier qu'une adresse e-mail existe réellement.
Analyse :
Beaucoup de discussions sur le fait que ce soit un bug ou non. Le risque ne parait pas majeur, mais à surveiller.
[4] Permissions incorrectes sur les fichiers téléchargés par Mozilla 1.7 (et Firefox 0.x, et ThunderBird 0.x)
Réf Cert-IST : SF-2004.180 (29-oct-04)
Autres réf :
http://broadcast.ptraced.net/advisories/008-firefox.thunderbird.txt
Description :
Si on lit un fichier PDF sous Mozilla, pendant la durée de la lecture, le fichier PDF lu est lisible par tous (en local).
Analyse :
C'est une vulnérabilité, mais elle est de courte durée. L'exploitation ne parait pas aisée.
[5] Vulnérabilité dans les navigateurs Konqueror (CAN-2004-0746), Internet Explorer (CAN-2004-0866) et Mozilla (CAN-2004-0867)
Réf Cert-IST : SF-2004.150 (20-sept-04)
Autres réf :
http://securityfocus.com/archive/1/375407/2004-09-15/2004-09-20/2
Description :
Vulnérabilité dans la gestion des cookies : possibilité qu'un domaine modifie les cookies d'un autre domaine
Analyse :
Il s'agit d'une écriture de cookie. Cela peut permettre de voler une session d'un utilisateur et ainsi d'accéder illégalement aux sites sur lesquels l'utilisateur a un compte (attaque par "cookie fixation"). Jugé "non critique"
[6] Possibilité de "phishing" dans Netscape 7.2, Mozilla et FireFox 0.x sous MacOSX
Réf Cert-IST : SF-2004.143 (27-août-04)
Autres réf :
http://www.securityfocus.com/archive/1/373080/2004-08-24/2004-08-30/0
Description :
"Ces navigateurs 'isolent' mal les différents onglets ouverts dans une même fenêtre.
Il semble toutefois que la vulnérabilité concerne le plugin Java sous MacOSX plutôt que les navigateurs
Analyse :
Il s'agit de l'ancêtre de la vulnérabilité [1] qui a donné lieu à l'avis CERT-IST/AV-2004.320.