Des experts avertissent que le non-respect par Microsoft d’une règle de sécurité pourtant connue a introduit un sérieux défaut dans son Internet Explorer. La vulnérabilité découverte juste avant Noël permet à des utilisateurs malveillants de se faire passer pour des sites légitimes et, partant, de s’approprier les données contenues dans les cookies récupérés par l’internaute et même d’accéder à d’autres fichiers stockés sur le disque dur de la victime.
D’après le site spécialisé dans la sécurité SecurityFocus, ainsi que selon le chercheur indépendant qui a découvert le bogue connu sous le nom de « ThePull », Microsoft a tout simplement négligé de respecter une règle de sécurité appelée « Politique de même provenance » (same origin policy). Cette dernière a été conçue par les ingénieurs de Netscape pour éviter que du code en provenance d’une première fenêtre puisse affecter un autre site affiché dans une fenêtre différente.
En utilisant la commande Javascript « document.open », Internet Explorer permet à du code de la première fenêtre d’interagir avec du code contenu dans la page affichée dans la seconde. En théorie, cela permet à un pirate de concevoir un site spécialement construit et capable de dérober des informations contenues dans les cookies de l’internaute (tels des numéros de cartes de crédit ou des identifiants de connexion) ou de tromper un internaute en lui faisant croire qu’il est en train de visiter un site de confiance.
Une vulnérabilité sérieuse « La violation de la same origin policy est une vulnérabilité sérieuse. Un pirate peut l’exploiter de nombreuses façons », estime un avis publié par SecurityFocus. Une démonstration des problèmes sus-cités est faite en ligne par « ThePull ». Selon le chercheur, Microsoft est au courant du problème et devrait publier un correctif rapidement. Jusque-là, les internautes peuvent se protéger en désactivant les fonctions de scripting d’IE… ou en utilisant Netscape, dont la version 6.2 est téléchargeable depuis peu.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…