Pour gérer vos consentements :
Categories: Cloud

Une vidéo-leurre cache une faille XSS sur Facebook

La semaine dernière, un expert américain en sécurité IT a découvert une nouvelle faille de type cross-site scripting (XSS) sur Facebook.

Pourtant,l’équipe de développement du réseau social a dévoilé fin mars un correctif pour colmater les brèches sur l’interface de programmation (API) pour l’application mobile Facebook.

Mais il subsiste au moins un agent malware qui exploite cette nouvelle faille XSS.

L’alerte a été donnée via Twitter. « Trouvé une autre instance de cette faille XSS sur l’application Facebook. Et cela concerne son équipe de développement. Ne pas cliquer sur le lien pour visionner une vidéo baptisée Pal Pushes Bully », avertit Joey Tyson.

Facebook l’a informé qu’il ferait le nécessaire pour traquer la faille et qu’un correctif sera proposé « prochainement ».

Joey Tyson a confirmé à eWeek que cette faille est différente de celle découverte sur l’API mobile de Facebook corrigée le 31 mars.

Cet ingénieur collabore avec Gemini Security Solutions, un cabinet américain en conseils et  audits en sécurité IT.

Il publie régulièrement des contributions sur les questions de protection de la la vie privée et sur les vulnérabilités sur les réseaux sociaux (blog Social Hacking).

Selon Joey Tyson, la faille API exploite la manière dont les navigateurs chargent des liens particuliers formatés dans « une certaine syntaxe JavaScript ».

L’expert considère que cette faille se révèle plus sophistiquée que la plupart des attaques XSS recensées.

Car la vidéo gère directement la charge malware en passant outre l’utilisateur, qui se retrouve d’emblée démuni.

« Le payload JavaScript peut mener une action forte « , commente Joey Tyson.

(lire la fin de l’article page 2)

Page: 1 2

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago