|
Bien sûr, cette attaque ne fonctionne qu'à partir des webmails tels Yahoo! et Hotmail, et uniquement lorsque ceux-ci sont consultés avec Internet Explorer. Il semblerait cependant que cette faille ne soit pas encore largement exploitée sur le terrain. En outre, Microsoft vient de mettre à jour les filtres HTML de Hotmail afin de contrôler l'utilisation du module HTML+TIME : Hotmail n'est donc plus vulnérable. En revanche, Yahoo! semble n'avoir rien fait à ce sujet, bien que prévenu lui aussi. Enfin, d'autres webmails pourraient très bien être vulnérables eux aussi.
Cette vulnérabilité ne pouvant être corrigée par les utilisateurs, il incombe aux responsables des webmails de s'assurer que l'utilisation du module HTML+TIME par Internet Explorer est correctement filtrée (et pas uniquement dans les en-têtes, car Internet Explorer offre une seconde méthode, non standard, pour déclarer des espaces de noms).
Les utilisateurs, quand à eux, peuvent toujours choisir d'utiliser un autre navigateur afin de consulter leurs webmail, en attendant que leur fournisseur de service corrige cette faille plutôt inhabituelle.
Update (25 Mars 2004) - Yahoo vient de patcher cette vulnérabilité sur son service mail.
Alerte GreyMagic : http://www.greymagic.com/security/advisories/gm005-mc/
Source :
|
