Des experts avertissent que le non-respect par Microsoft d’une règle de sécurité pourtant connue a introduit un sérieux défaut dans son Internet Explorer. La vulnérabilité découverte juste avant Noël permet à des utilisateurs malveillants de se faire passer pour des sites légitimes et, partant, de s’approprier les données contenues dans les cookies récupérés par l’internaute et même d’accéder à d’autres fichiers stockés sur le disque dur de la victime.
D’après le site spécialisé dans la sécurité SecurityFocus, ainsi que selon le chercheur indépendant qui a découvert le bogue connu sous le nom de « ThePull », Microsoft a tout simplement négligé de respecter une règle de sécurité appelée « Politique de même provenance » (same origin policy). Cette dernière a été conçue par les ingénieurs de Netscape pour éviter que du code en provenance d’une première fenêtre puisse affecter un autre site affiché dans une fenêtre différente.
En utilisant la commande Javascript « document.open », Internet Explorer permet à du code de la première fenêtre d’interagir avec du code contenu dans la page affichée dans la seconde. En théorie, cela permet à un pirate de concevoir un site spécialement construit et capable de dérober des informations contenues dans les cookies de l’internaute (tels des numéros de cartes de crédit ou des identifiants de connexion) ou de tromper un internaute en lui faisant croire qu’il est en train de visiter un site de confiance.
Une vulnérabilité sérieuse « La violation de la same origin policy est une vulnérabilité sérieuse. Un pirate peut l’exploiter de nombreuses façons », estime un avis publié par SecurityFocus. Une démonstration des problèmes sus-cités est faite en ligne par « ThePull ». Selon le chercheur, Microsoft est au courant du problème et devrait publier un correctif rapidement. Jusque-là, les internautes peuvent se protéger en désactivant les fonctions de scripting d’IE… ou en utilisant Netscape, dont la version 6.2 est téléchargeable depuis peu.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…