Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)

[accueil]  [menu]  [marions-nous !]  [chercher]


2003-05-01 03:26

Winzip, attention aux codes malveillants dans les fichiers ZIP !


Max14H44, un lecteur, nous a informés d'une faille de sécurité qu'il a découverte dans le célèbre logiciel de compression Winzip. En effet, dans la section « commentaires » d'un fichier Zip créé, si vous ajoutez du javascript entre les balises , le code sera bel et bien filtré. En revanche, si vous l'incorporez dans d'autres balises HTML, le script est alors exécuté lors de la prévisualisation du fichier ! Démonstration. Créez un fichier Zip comportant, par exemple, un fichier texte 1.txt. Double cliquez sur l'archive. Arrivé sous Winzip, sélectionnez Comment dans le menu Action. Ajoutez la ligne suivante : < img src='javascript:alert(' Pirates Mag ')' >, puis quittez le logiciel. Sous Windows 98, réglez l'affichage du dossier comportant le fichier Zip, en tant que « page Web » dans le menu Outils, puis Option des dossiers. Cliquez sur le fichier Zip, le javascript est alors automatiquement exécuté, faisant apparaître la boîte d'alerte comportant l'inscription « Pirates Mag ». On peut imaginer qu'un pirate décide d'exploiter cette faille en incluant la fonction « windows.open » qui ordonnerait l'ouverture d'un site web contenant une attaque VBScript. Ceci n'est pas sans rappeler les problèmes rencontrés sur les webmails... Nous avons contacté les auteurs du logiciel Winzip, ils nous ont déclaré avoir reproduit la faille et travailler sur un moyen de la colmater. « Je crains de ne pouvoir vous donner de délai exact », nous a-t-on répondu concernant la date de sortie d'une prochaine version. Plus de trois mois plus tard, la faille est toujours présente, d'où notre alerte publique.



Vous aimez cette page ? Partagez-en le lien !

Facebook
Twitter
Google+
LinkedIn
Reddit

Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Creative Commons License

[homepage] [RSS] [archives] [legal & cookies] [since 1997]