MS02-013 : Une applet Java peut rediriger le trafic d'un navigateur

Traductions disponibles Traductions disponibles
Numéro d'article: 300845 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Avertissement
La mise à jour des machines virtuelles Microsoft précédemment répertoriée dans cet article n'est plus disponible. Pour plus d'informations, reportez-vous aux pages web de Microsoft suivantes :
http://www.microsoft.com/mscorp/java/default.mspx
http://support.microsoft.com/gp/lifean12
Agrandir tout | Réduire tout

Symptômes

Dans la machine virtuelle Microsoft, il existe un danger de détournement de sessions qui peut permettre à une applet à la fois bien adaptée et malveillante de rerouter en toute discrétion l'ensemble du trafic d'un navigateur vers l'hôte de l'applet sans que l'utilisateur ne s'en aperçoive. Une fois le trafic du navigateur détourné, un utilisateur malveillant peut exécuter toutes les actions ou combinaisons d'actions voulues, notamment les suivantes :
  • gestion de la demande du navigateur ;
  • enregistrement des informations de la session ;
  • transfert de la demande vers une destination déterminée.
REMARQUE : cette capacité peut permettre à un utilisateur malveillant d'enregistrer les informations des sessions d'un utilisateur et de se procurer ainsi des noms d'utilisateurs, des mots de passe ou des numéros de carte de crédit qui sont envoyés en texte clair, c'est-à-dire non chiffrés.

Une applet malveillante qui tente de tirer parti de cette vulnérabilité reste en principe active tant que l'utilisateur n'a pas quitté toutes les instances d'Internet Explorer ouvertes.

Cette vulnérabilité n'est exploitable que si Microsoft Internet Explorer est configuré de manière à accéder aux ressources Internet par le biais d'un serveur proxy. Cette vulnérabilité ne présente donc aucun risque pour les utilisateurs dont les navigateurs ne sont pas configurés de manière à utiliser un serveur proxy.

Si une attaque qui exploite cette vulnérabilité capture un trafic HTTP sécurisé (HTTPS), ce dernier ne peut pas être lu en texte clair, car le chiffrement de HTTPS utilise SSL (Secure Sockets Layer). En conséquence, les noms d'utilisateurs et mots de passe envoyés au moyen du protocole HTTPS sont des informations bien moins vulnérables que celles envoyées en texte clair à l'aide du protocole HTTP.

Cause

Cette vulnérabilité est due au mode de traitement de certaines demandes adressées au service proxy de Java. Lorsque vous configurez Internet Explorer de manière à utiliser des services proxy, un programme Java particulièrement bien adapté (parfois appelé applet) peut exploiter cette vulnérabilité pour transférer le trafic d'un navigateur.

Statut

Microsoft a confirmé que ce problème pouvait entraîner une certaine vulnérabilité dans la sécurité de la machine virtuelle Microsoft. Ce problème a été corrigé pour la première fois dans Windows 2000 Service Pack 3.

Plus d'informations

Pour déterminer la version de la machine virtuelle Microsoft sur un ordinateur Windows 98, Windows 98 Deuxième Édition ou Windows Millennium Edition, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez commande, puis cliquez sur OK.
  3. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :
    jview
    Notez que les informations de version apparaissent sur la première ligne sous la forme « Version n.nn.nnnn », où les quatre derniers chiffres nnnn correspondent au numéro de version. Par exemple, 5.00.3802 correspond à la version 3802 de la machine virtuelle Microsoft.
Pour déterminer le numéro de version de la machine virtuelle Microsoft sur un ordinateur Windows NT 4.0, Windows 2000 ou Windows XP, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone de texte Ouvrir, tapez cmd, puis cliquez sur OK.
  3. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :
    jview
    Notez que les informations de version apparaissent sur la première ligne sous la forme « Version n.nn.nnnn », où les quatre derniers chiffres nnnn correspondent au numéro de version. Par exemple, 5.00.3802 correspond à la version 3802 de la machine virtuelle Microsoft.

Références

Pour plus d'informations sur cette vulnérabilité, reportez-vous aux sites web de Microsoft aux adresses suivantes :
http://technet.microsoft.com/en-us/security/bulletin/ms02-013

http://technet.microsoft.com/en-us/security/bulletin/ms03-011
Pour plus d'informations sur la machine virtuelle Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances de Microsoft.
169803 INFO : liste historique des sources d'expédition pour la machine virtuelle Microsoft (Cette page peut être en anglais)
Pour obtenir des informations de support sur Visual J++ et le Kit de développement logiciel (SDK) pour Java, reportez-vous au site web de Microsoft à l'adresse suivante :
http://www.microsoft.com/java

Propriétés

Numéro d'article: 300845 - Dernière mise à jour: jeudi 27 mars 2014 - Version: 8.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Virtual Machine for Java sur le système suivant
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Standard Edition
Mots-clés : 
kbarchive kbqfe kbbug kbfix kbjava kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000sp3fix KB300845
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com