Une vidéo-leurre cache une faille XSS sur Facebook

La semaine dernière, un expert américain en sécurité IT a découvert une nouvelle faille de type cross-site scripting (XSS) sur Facebook.

Pourtant,l’équipe de développement du réseau social a dévoilé fin mars un correctif pour colmater les brèches sur l’interface de programmation (API) pour l’application mobile Facebook.

Mais il subsiste au moins un agent malware qui exploite cette nouvelle faille XSS.

L’alerte a été donnée via Twitter. « Trouvé une autre instance de cette faille XSS sur l’application Facebook. Et cela concerne son équipe de développement. Ne pas cliquer sur le lien pour visionner une vidéo baptisée Pal Pushes Bully », avertit Joey Tyson.

Facebook l’a informé qu’il ferait le nécessaire pour traquer la faille et qu’un correctif sera proposé « prochainement ».

Joey Tyson a confirmé à eWeek que cette faille est différente de celle découverte sur l’API mobile de Facebook corrigée le 31 mars.

Cet ingénieur collabore avec Gemini Security Solutions, un cabinet américain en conseils et  audits en sécurité IT.

Il publie régulièrement des contributions sur les questions de protection de la la vie privée et sur les vulnérabilités sur les réseaux sociaux (blog Social Hacking).

Selon Joey Tyson, la faille API exploite la manière dont les navigateurs chargent des liens particuliers formatés dans « une certaine syntaxe JavaScript ».

L’expert considère que cette faille se révèle plus sophistiquée que la plupart des attaques XSS recensées.

Car la vidéo gère directement la charge malware en passant outre l’utilisateur, qui se retrouve d’emblée démuni.

« Le payload JavaScript peut mener une action forte « , commente Joey Tyson.

(lire la fin de l’article page 2)