Un expert en sécurité polonais vient de trouver 4 nouvelles failles dans IE 6 et IE 7 et 2 autres dans Firefox.
Ces failles sont pour le moment non patchées et peuvent permettre des choses très vilaines comme du vol de cookie, de l’interception de message du détournement de page web, faire déborder la mémoire du navigateur et j’en passe !
La première des 2 failles fonctionne avec IE. Un javascript ordonne au navigateur de faire des aller-retour rapides entre 2 sites. Le site attaquant essaye d’exécuter un javascript malveillant avec les permissions de l’autre site… Le navigateur internet se mélange les pinceaux et le drame arrive.
Vous pouvez tester cette faille ici avec Internet Explorer 6 ou 7:
http://lcamtuf.coredump.cx/ierace/
La seconde faille sur Firefox permet avec un simple javascript et avec une faille dans les IFRAME d’injecter du javascript malveillant afin de faire par exemple de l’interception de touches entrées avec votre clavier.
Essayez la démo et appuyez sur la touche X, vous verrez le délire.
http://lcamtuf.coredump.cx/ifsnatch/
Toutes les infos sont sur [Full-disclosure] Assorted browser vulnerabilities