Vous vous souvenez surement de la faille très médiatisée qui permettait de falsifier une URL sous Internet Explorer. Depuis de nombreux autres navigateurs se sont révélés vulnérables, parfois même à plusieurs reprises, et si les vulnérabilités différaient parfois, le but restait le même, tromper l'utilisateur. Cette fois ce sont Opera et Firefox qui sont touchés.
Bitlance Winter a découvert une faille de sécurité dans la navigateur Opera (versions 7.x), faille qui peut être exploitée pour tromper les internautes. Un exemple de code permettant d'exploiter la vulnérabilité sous Opera 7.53 a été publié.
Le problème est qu'Opera échoue lors de la mise à jour de la barre d'adresse si une page web est ouverte en utilisant la fonction "window.open" et "remplacée" en utilisant la fonction "location.replace". Opera affichera alors l'URL du premier site Internet tout en appelant le contenu du second site.
Mozilla Firefox (versions 0.9.1 et 0.9.2) a des problèmes de cache. Cela permet à des personnes malintentionnées de "spoofer" le certificat de n'importe quel site afin de l'utiliser comme le sien. La vulnérabilité est exploitée en utilisant "OnUnload" dans "<body>" et en redirigeant avec les metatags "HTTP-Equiv Refresh", "document.write()" et "document.close()".
Les utilisateurs doivent juste mettre à jour leur(s) navigateur(s) pour se protéger de ces failles.
Source : Echu.org