[ad_1]

La semaine dernière, je me suis souvenu d’une conversation que j’avais eue avec un hacker éthique que j’avais rencontré à l’assemblée annuelle Defcon conférence sur la sécurité à Las Vegas il y a quelques années, qui m’a montré ce qui reste le truc le plus court, le plus élégant et le plus fiable que j’ai vu pour planter le Internet Explorer 6 Navigateur Web.

Si vous êtes curieux et que IE6 traîne, tapez ou coupez et collez ce qui suit dans la barre d’adresse (ce dernier caractère est un zéro) :

ms-its :%F0 :

ou cliquez simplement sur ce lien avec IE6.

Voici un court exemple vidéo du plantage résultant de la saisie du texte ci-dessus dans une fenêtre IE6 :

Le bit « ms-its » est une référence à l’une des extensions d’assistance intégrées à IE6. Alex Holdenle chercheur basé au Wisconsin qui m’a montré ce crash, a déclaré que le bug est le résultat d’un débordement de pointeur dans IE. Le plantage ne semble pas fonctionner dans les nouvelles versions d’IE.

Holden a déclaré avoir informé Microsoft de sa découverte en 2004. Un fil de discussion que Holden a partagé avec breachtrace.com indique que les ingénieurs de Microsoft pensaient que ce bogue n’avait pas de conséquences graves sur la sécurité et qu’il serait probablement corrigé dans un futur Service Pack. . Évidemment, ça ne l’a jamais été.

Les utilisateurs de XP pourraient notamment rencontrer ce problème si le code abrégé ci-dessus ou quelque chose de similaire était inclus dans un lien envoyé à un utilisateur ciblé via un message instantané ou un e-mail. En effet, on pourrait imaginer qu’un ver informatique se promène et remplace la page d’accueil par défaut de la victime par ce petit bout de code. La victime ne serait plus en mesure de se connecter… avec IE6, de toute façon (bien qu’un piratage du registre puisse presque certainement réparer la page d’accueil échangée).

Il existe une utilisation possible intéressante pour ce petit extrait de code provoquant un crash. Peut-être que quelqu’un que vous connaissez et qui vous tient à cœur insiste pour utiliser IE6 ou refuse de passer à IE7 ou IE8. Installez Firefox ou une autre alternative de navigateur, puis changez leur page d’accueil IE en « ms-its:%F0: » Il y a de fortes chances qu’ils ne puissent plus jamais ouvrir IE6.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.