Internet Explorer : faille XSS préoccupante sur le navigateur Microsoft

Un expert en sécurité IT a démontré l’existence d’une faille Universal XSS potentiellement dangereuse sur le navigateur IE 11. Microsoft va colmater la brèche.

Microsoft doit colmater une brèche sérieuse sur Internet Explorer. Car elle est potentiellement dangereuse pour les utilisateurs du navigateur.

C’est le chercheur David Leo du nom d’un chercheur du cabinet britannique de conseil en sécurité Deusen, qui a dévoilé les éléments sur un forum du portail SecLists.org.

Sa contribution comporte une démo pour prouver le concept de l’attaque (PoC) à partir du site Internet du quotidien dailymail.co.uk virtuellement pris pour cible.

L’alerte a été donnée le 31 janvier après un test effectué sur une configuration Internet Explorer 11 sur Windows 7. Elle serait valable pour Windows 8.1.

Il s’agit d’une faille de type Universal XSS (cross-site scripting) qui permet de contourner la fonction Same-Origin Policy, présentée comme un mécanisme essentiel de sécurité du navigateur.

Elle permettrait d’enclencher des attaques par phishing ou de détourner le compte d’utilisateurs quel que soit le site visité.

Selon l’éditeur californien de sécurité IT californien WhiteHat Security, « c’est une mauvaise journée pour les utilisateurs et les développeurs du navigateur IE ».

En exploitant de manière excessive des iFrames (fonction HTML permettant d’afficher plusieurs cadres dans une même fenêtre sur un site Web) avec une faille XSS, un pirate pourrait injecter du code arbitraire dans n’importe quel site à travers son navigateur.

Interrogé par PCWorld, Joey Fowler, ingénieur senior et expert en sécurité IT pour Tumblr, la vulnérabilité découverte par David Leo peut aussi affecter les sites sécurisés de type HTTPS.

De son côté, Microsoft déclare qu’il n’était pas informé d’un usage abusif de cette faille via IE 11 et qu’il élabore un patch de sécurité pour son navigateur.

Le prochain Patch Tuesday (livraison mensuelle de bulletins de sécurité IT de Microsoft) est prévu maintenant mardi prochain (10 février). Serait-ce l’occasion de colmater la brèche ?

La bonne nouvelle pour les éditeurs de sites Web est qu’il est possible de se prémunir des risques associés à cette faille Universal CSS en calibrant les paramètres d’un header de sécurité baptisé X-Frame-Options.

Il n’y a pas que IE dans la vie des browsers. Parallèlement, Silicon.fr a noté que 11 failles de sécurité viennent d’être corrigées dans Chrome. « Aucune n’est critique, mais certaines permettront aux pirates de vous subtiliser des données de navigation sensibles. »

(Crédit photo : Shutterstock.com – Droit d’auteur : alexmillos)

Internet Explorer : une faille XSS préoccupante sur le navigateur Microsoft

Microsoft pousse le nouvel Edge vers les entreprises

Patch Tuesday : un concentré de JavaScript au rayon des failles critiques

Patch Tuesday : Microsoft reprend le rythme avec 9 bulletins critiques

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu