Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)
[accueil] [menu] [suivez-nous !] [chercher]
Winzip, attention aux codes malveillants dans les fichiers ZIP !
Max14H44, un lecteur, nous a informés d'une faille de sécurité qu'il a découverte dans le célèbre logiciel de compression
Winzip. En effet, dans la section « commentaires » d'un fichier Zip créé, si vous ajoutez du
javascript entre les balises , le code sera bel et bien filtré. En revanche, si vous l'incorporez dans d'autres balises HTML, le script est alors exécuté lors de la prévisualisation du fichier ! Démonstration. Créez un fichier Zip comportant, par exemple, un fichier texte 1.txt. Double cliquez sur l'archive. Arrivé sous
Winzip, sélectionnez
Comment dans le menu
Action. Ajoutez la ligne suivante : < img src='javascript:alert(' Pirates Mag ')' >, puis quittez le logiciel. Sous
Windows 98, réglez l'affichage du dossier comportant le fichier Zip, en tant que « page Web » dans le menu
Outils, puis
Option des dossiers. Cliquez sur le fichier Zip, le
javascript est alors automatiquement exécuté, faisant apparaître la boîte d'alerte comportant l'inscription « Pirates Mag ». On peut imaginer qu'un pirate décide d'exploiter cette faille en incluant la fonction « windows.open » qui ordonnerait l'ouverture d'un site web contenant une attaque
VBScript. Ceci n'est pas sans rappeler les problèmes rencontrés sur les
webmails... Nous avons contacté les auteurs du logiciel
Winzip, ils nous ont déclaré avoir reproduit la faille et travailler sur un moyen de la colmater. «
Je crains de ne pouvoir vous donner de délai exact », nous a-t-on répondu concernant la date de sortie d'une prochaine version. Plus de trois mois plus tard, la faille est toujours présente, d'où notre alerte publique.
Vous voulez soutenir une information indépendante ? Rejoignez notre
Club privé !
Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
[homepage] [RSS] [archives]
[contact & legal & cookies] [since 1997]