Des experts en sécurité ont mis au point un type de fichier hybride qui ressemble à une image mais qui peut être exécuté comme une applet Java sur un navigateur. Selon les chercheurs de la Next Generation Security Software (NGSS) et de l’Ernst & Young LLP’s Advanced Security Centre, ce fichier peut être utilisé pour accéder au navigateur d’un utilisateur sur n’importe quel site autorisant le chargement d’images, tels que les sites de réseaux sociaux ou eBay.
Le fichier – connu sous le nom de Gifar – ressemble à une image .gif pour le site hôte, mais il peut également être combiné à un fichier archive Java .jar. Lorsqu’il est ‘affiché’ sur le navigateur du visiteur, le fichier JAR s’exécute comme une applet et permet au pirate d’exécuter un code Java sur le navigateur infecté. Pour le navigateur, le code Java semblera provenir d’un site légitime. L’attaque sera d’autant plus efficace que les utilisateurs resteront longtemps connectés, soulignent les représentants de la NGSS.
La semaine dernière, un rapport émis par l’éditeur de solutions de sécurité Websense a révélé qu’au cours des six derniers mois, six sites Web légitimes sur 10 ont à un moment ou un autre hébergé des malware sans le savoir.
Sun devrait renforcer le sécurité de l’environnement Java
La NGSS a dévoilé l’attaque Gifar lors de la conférence de sécurité Black Hat organisée cette semaine à Las Vegas. Les chercheurs ont toutefois éludé certains détails fondamentaux afin de prévenir le risque d’attaques immédiates.
Kris Lamb, directeur du groupe de sécurité X-force d’IBM, a récemment critiqué l’habitude des chercheurs à publier les vulnérabilités, les accusant de faciliter le travail des cybercriminels. Afin d’empêcher la prolifération des attaques Gifar, Sun devrait renforcer la sécurité de l’environnement d’exécution Java et les sites Web pourraient améliorer leurs filtres de manière à isoler les fichiers Gifar.
Mais ces mesures ne protégeraient l’utilisateur que contre un seul vecteur d’attaque, explique la NGSS. La sécurité des navigateurs devrait également être améliorée, précisent les experts.
Traduction et adaptation de l’article Image-applet combo hack revealed de Vnunet.com en date du 4 août 2008.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…