D’après le site du CIS, le Chapin Information Services, qui a revendiqué la découverte de cette faille, cette dernière permet à un attaquant de compromettre les mots de passe et l’identifiant d’un internaute.
Un exploit pour cette faille a déjà été repéré sur le réseau communautaire MySpace et pourrait affecter toutes les personnes susceptibles d’utiliser un weblog ou un forum qui permet l’ajout de code HTML.
D’après le CIS : « les utilisateurs de Firefox et IE doivent être au courant du fait que leurs informations personnelles peuvent être dérobées en visitant un blog ou les forums de sites web, même de renom ».
D’après le spécialiste de la sécurité Netcraft, qui a découvert l’exploit utilisé pour MySpace, une page de log in frauduleuse était carrément hébergée sur les serveurs de MySpace.
Cette fausse page ne montrant aucun signe en provenance de l’extérieur, l’arnaque est transparente et par conséquent très convaincante.
D’après Secunia il existe un moyen de se prévenir de cette attaque sur Firefox en empêchant dans le menu préférences, « la sauvegarde des logs », une option qui n’est pas automatique sous IE7.
D’après le CIS, une attaque RCSR a plus de chance de réussir qu’une attaque XSS (cross-site scripting) parce que, ni IE7, ni Firefox, n’ont été conçus pour vérifier la destination des données identifiantes.
Fanch