Pour gérer vos consentements :
Categories: SécuritéVirus

Internet Explorer : une faille XSS préoccupante sur le navigateur Microsoft

Microsoft doit colmater une brèche sérieuse sur Internet Explorer. Car elle est potentiellement dangereuse pour les utilisateurs du navigateur.

C’est le chercheur David Leo du nom d’un chercheur du cabinet britannique de conseil en sécurité Deusen, qui a dévoilé les éléments sur un forum du portail SecLists.org.

Sa contribution comporte une démo pour prouver le concept de l’attaque (PoC) à partir du site Internet du quotidien dailymail.co.uk virtuellement pris pour cible.

L’alerte a été donnée le 31 janvier après un test effectué sur une configuration Internet Explorer 11 sur Windows 7. Elle serait valable pour Windows 8.1.

Il s’agit d’une faille de type Universal XSS (cross-site scripting) qui permet de contourner la fonction Same-Origin Policy, présentée comme un mécanisme essentiel de sécurité du navigateur.

Elle permettrait d’enclencher des attaques par phishing ou de détourner le compte d’utilisateurs quel que soit le site visité.

Selon l’éditeur californien de sécurité IT californien WhiteHat Security, « c’est une mauvaise journée pour les utilisateurs et les développeurs du navigateur IE ».

En exploitant de manière excessive des iFrames (fonction HTML permettant d’afficher plusieurs cadres dans une même fenêtre sur un site Web) avec une faille XSS, un pirate pourrait injecter du code arbitraire dans n’importe quel site à travers son navigateur.

Interrogé par PCWorld, Joey Fowler, ingénieur senior et expert en sécurité IT pour Tumblr, la vulnérabilité découverte par David Leo  peut aussi affecter les sites sécurisés de type HTTPS.

De son côté, Microsoft déclare qu’il n’était pas informé d’un usage abusif de cette faille via IE 11 et qu’il élabore un patch de sécurité pour son navigateur.

Le prochain Patch Tuesday (livraison mensuelle de bulletins de sécurité IT de Microsoft) est prévu maintenant mardi prochain (10 février). Serait-ce l’occasion de colmater la brèche ?

La bonne nouvelle pour les éditeurs de sites Web est qu’il est possible de se prémunir des risques associés à cette faille Universal CSS en calibrant les paramètres d’un header de sécurité baptisé X-Frame-Options.

Il n’y a pas que IE dans la vie des browsers. Parallèlement, Silicon.fr a noté que 11 failles de sécurité viennent d’être  corrigées dans Chrome. « Aucune n’est critique, mais certaines permettront aux pirates de vous subtiliser des données de navigation sensibles. »

(Crédit photo : Shutterstock.com –  Droit d’auteur : alexmillos)

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago