De nombreux produits antivirus, en particulier les « suites de sécurité Internet », sont désormais livrés avec diverses barres d’outils, plug-ins et modules complémentaires de navigateur Web conçus pour aider à protéger les informations personnelles du client et à détecter les sites Web malveillants. Malheureusement, s’ils sont mal conçus, ces suppléments de navigateur peuvent en fait réduire la sécurité du système de l’utilisateur en introduisant des problèmes de sécurité et de stabilité.
La dernière fois que j’ai rencontré un chercheur en sécurité Alex Holden, il me montrait un moyen astucieux de planter IE6 et d’empêcher l’utilisateur de rouvrir facilement la version du navigateur obsolète et non sécurisée. L’autre jour, Holden m’a demandé de vérifier un plantage qu’il avait trouvé et qui affecte les utilisateurs qui ont Trend Micro Internet Security installé, qui installe une barre d’outils de sécurité dans les deux Internet Explorer et MozillaCommentnavigateurs basés sur Microsoft Windows.
La vidéo ici a été réalisée sur une installation vierge de Windows XP SP3, avec la dernière version de Firefox et une toute nouvelle copie de Trend Micro Internet Security. Coller un vraiment URL longue dans la barre d’adresse avec la barre d’outils Tendance activée, et Firefox plante à chaque fois. Faites de même avec la barre d’outils désactivée, et le navigateur laisse le site Web, quel que soit le nom de domaine que vous mettez devant les caractères parasites, gérer la fausse requête comme il se doit. Cela ne se limite pas à Firefox : la même longue URL plante IE8 avec la barre d’outils Tendance activée, bien que pour une raison étrange, elle ne parvienne pas à planter IE6. Je n’ai pas essayé de le tester contre IE7.
Ce crash peut être bénin, ou il peut être possible de l’utiliser pour attaquer le navigateur. Mais, comme l’a dit Holden, il s’agit d’un bogue très basique – de type Programming Security 101 – qui ne devrait pas être trouvé dans un produit logiciel de sécurité aussi largement utilisé.
« Le crash du navigateur qui en résulte peut avoir des conditions de débordement de la mémoire tampon qui ouvriraient potentiellement un ordinateur à tous les privilèges de niveau utilisateur d’un attaquant malveillant », a déclaré Holden, directeur de la sécurité d’entreprise chez Cyopsis LLC., une société de sécurité basée à Denver. « La portée et la simplicité de cet exploit ouvrent la possibilité d’exploiter les redirections, les liens de sites ou même les URL raccourcies utilisées sur les sites de médias sociaux populaires tels que Twitter et Facebook. »
J’ai informé Trend de ce bogue il y a environ deux semaines. La société a déclaré qu’elle prévoyait de publier un correctif téléchargeable le mardi 13 avril pour corriger cette faille.
Mise à jour, 18 h 27 HE : Date corrigée à lire mardi 13 avril.