Microsoft doit colmater une brèche sérieuse sur Internet Explorer. Car elle est potentiellement dangereuse pour les utilisateurs du navigateur.
C’est le chercheur David Leo du nom d’un chercheur du cabinet britannique de conseil en sécurité Deusen, qui a dévoilé les éléments sur un forum du portail SecLists.org.
Sa contribution comporte une démo pour prouver le concept de l’attaque (PoC) à partir du site Internet du quotidien dailymail.co.uk virtuellement pris pour cible.
L’alerte a été donnée le 31 janvier après un test effectué sur une configuration Internet Explorer 11 sur Windows 7. Elle serait valable pour Windows 8.1.
Il s’agit d’une faille de type Universal XSS (cross-site scripting) qui permet de contourner la fonction Same-Origin Policy, présentée comme un mécanisme essentiel de sécurité du navigateur.
Elle permettrait d’enclencher des attaques par phishing ou de détourner le compte d’utilisateurs quel que soit le site visité.
Selon l’éditeur californien de sécurité IT californien WhiteHat Security, « c’est une mauvaise journée pour les utilisateurs et les développeurs du navigateur IE ».
En exploitant de manière excessive des iFrames (fonction HTML permettant d’afficher plusieurs cadres dans une même fenêtre sur un site Web) avec une faille XSS, un pirate pourrait injecter du code arbitraire dans n’importe quel site à travers son navigateur.
Interrogé par PCWorld, Joey Fowler, ingénieur senior et expert en sécurité IT pour Tumblr, la vulnérabilité découverte par David Leo peut aussi affecter les sites sécurisés de type HTTPS.
De son côté, Microsoft déclare qu’il n’était pas informé d’un usage abusif de cette faille via IE 11 et qu’il élabore un patch de sécurité pour son navigateur.
Le prochain Patch Tuesday (livraison mensuelle de bulletins de sécurité IT de Microsoft) est prévu maintenant mardi prochain (10 février). Serait-ce l’occasion de colmater la brèche ?
La bonne nouvelle pour les éditeurs de sites Web est qu’il est possible de se prémunir des risques associés à cette faille Universal CSS en calibrant les paramètres d’un header de sécurité baptisé X-Frame-Options.
Il n’y a pas que IE dans la vie des browsers. Parallèlement, Silicon.fr a noté que 11 failles de sécurité viennent d’être corrigées dans Chrome. « Aucune n’est critique, mais certaines permettront aux pirates de vous subtiliser des données de navigation sensibles. »
(Crédit photo : Shutterstock.com – Droit d’auteur : alexmillos)
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…