Microsoft doit colmater une brèche sérieuse sur Internet Explorer. Car elle est potentiellement dangereuse pour les utilisateurs du navigateur.
C’est le chercheur David Leo du nom d’un chercheur du cabinet britannique de conseil en sécurité Deusen, qui a dévoilé les éléments sur un forum du portail SecLists.org.
Sa contribution comporte une démo pour prouver le concept de l’attaque (PoC) à partir du site Internet du quotidien dailymail.co.uk virtuellement pris pour cible.
L’alerte a été donnée le 31 janvier après un test effectué sur une configuration Internet Explorer 11 sur Windows 7. Elle serait valable pour Windows 8.1.
Il s’agit d’une faille de type Universal XSS (cross-site scripting) qui permet de contourner la fonction Same-Origin Policy, présentée comme un mécanisme essentiel de sécurité du navigateur.
Elle permettrait d’enclencher des attaques par phishing ou de détourner le compte d’utilisateurs quel que soit le site visité.
Selon l’éditeur californien de sécurité IT californien WhiteHat Security, « c’est une mauvaise journée pour les utilisateurs et les développeurs du navigateur IE ».
En exploitant de manière excessive des iFrames (fonction HTML permettant d’afficher plusieurs cadres dans une même fenêtre sur un site Web) avec une faille XSS, un pirate pourrait injecter du code arbitraire dans n’importe quel site à travers son navigateur.
Interrogé par PCWorld, Joey Fowler, ingénieur senior et expert en sécurité IT pour Tumblr, la vulnérabilité découverte par David Leo peut aussi affecter les sites sécurisés de type HTTPS.
De son côté, Microsoft déclare qu’il n’était pas informé d’un usage abusif de cette faille via IE 11 et qu’il élabore un patch de sécurité pour son navigateur.
Le prochain Patch Tuesday (livraison mensuelle de bulletins de sécurité IT de Microsoft) est prévu maintenant mardi prochain (10 février). Serait-ce l’occasion de colmater la brèche ?
La bonne nouvelle pour les éditeurs de sites Web est qu’il est possible de se prémunir des risques associés à cette faille Universal CSS en calibrant les paramètres d’un header de sécurité baptisé X-Frame-Options.
Il n’y a pas que IE dans la vie des browsers. Parallèlement, Silicon.fr a noté que 11 failles de sécurité viennent d’être corrigées dans Chrome. « Aucune n’est critique, mais certaines permettront aux pirates de vous subtiliser des données de navigation sensibles. »
(Crédit photo : Shutterstock.com – Droit d’auteur : alexmillos)
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…