Microsoft doit colmater une brèche sérieuse sur Internet Explorer. Car elle est potentiellement dangereuse pour les utilisateurs du navigateur.
C’est le chercheur David Leo du nom d’un chercheur du cabinet britannique de conseil en sécurité Deusen, qui a dévoilé les éléments sur un forum du portail SecLists.org.
Sa contribution comporte une démo pour prouver le concept de l’attaque (PoC) à partir du site Internet du quotidien dailymail.co.uk virtuellement pris pour cible.
L’alerte a été donnée le 31 janvier après un test effectué sur une configuration Internet Explorer 11 sur Windows 7. Elle serait valable pour Windows 8.1.
Il s’agit d’une faille de type Universal XSS (cross-site scripting) qui permet de contourner la fonction Same-Origin Policy, présentée comme un mécanisme essentiel de sécurité du navigateur.
Elle permettrait d’enclencher des attaques par phishing ou de détourner le compte d’utilisateurs quel que soit le site visité.
Selon l’éditeur californien de sécurité IT californien WhiteHat Security, « c’est une mauvaise journée pour les utilisateurs et les développeurs du navigateur IE ».
En exploitant de manière excessive des iFrames (fonction HTML permettant d’afficher plusieurs cadres dans une même fenêtre sur un site Web) avec une faille XSS, un pirate pourrait injecter du code arbitraire dans n’importe quel site à travers son navigateur.
Interrogé par PCWorld, Joey Fowler, ingénieur senior et expert en sécurité IT pour Tumblr, la vulnérabilité découverte par David Leo peut aussi affecter les sites sécurisés de type HTTPS.
De son côté, Microsoft déclare qu’il n’était pas informé d’un usage abusif de cette faille via IE 11 et qu’il élabore un patch de sécurité pour son navigateur.
Le prochain Patch Tuesday (livraison mensuelle de bulletins de sécurité IT de Microsoft) est prévu maintenant mardi prochain (10 février). Serait-ce l’occasion de colmater la brèche ?
La bonne nouvelle pour les éditeurs de sites Web est qu’il est possible de se prémunir des risques associés à cette faille Universal CSS en calibrant les paramètres d’un header de sécurité baptisé X-Frame-Options.
Il n’y a pas que IE dans la vie des browsers. Parallèlement, Silicon.fr a noté que 11 failles de sécurité viennent d’être corrigées dans Chrome. « Aucune n’est critique, mais certaines permettront aux pirates de vous subtiliser des données de navigation sensibles. »
(Crédit photo : Shutterstock.com – Droit d’auteur : alexmillos)
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…