La semaine dernière, un expert américain en sécurité IT a découvert une nouvelle faille de type cross-site scripting (XSS) sur Facebook.
Pourtant,l’équipe de développement du réseau social a dévoilé fin mars un correctif pour colmater les brèches sur l’interface de programmation (API) pour l’application mobile Facebook.
Mais il subsiste au moins un agent malware qui exploite cette nouvelle faille XSS.
L’alerte a été donnée via Twitter. « Trouvé une autre instance de cette faille XSS sur l’application Facebook. Et cela concerne son équipe de développement. Ne pas cliquer sur le lien pour visionner une vidéo baptisée Pal Pushes Bully », avertit Joey Tyson.
Facebook l’a informé qu’il ferait le nécessaire pour traquer la faille et qu’un correctif sera proposé « prochainement ».
Joey Tyson a confirmé à eWeek que cette faille est différente de celle découverte sur l’API mobile de Facebook corrigée le 31 mars.
Cet ingénieur collabore avec Gemini Security Solutions, un cabinet américain en conseils et audits en sécurité IT.
Il publie régulièrement des contributions sur les questions de protection de la la vie privée et sur les vulnérabilités sur les réseaux sociaux (blog Social Hacking).
Selon Joey Tyson, la faille API exploite la manière dont les navigateurs chargent des liens particuliers formatés dans « une certaine syntaxe JavaScript ».
L’expert considère que cette faille se révèle plus sophistiquée que la plupart des attaques XSS recensées.
Car la vidéo gère directement la charge malware en passant outre l’utilisateur, qui se retrouve d’emblée démuni.
« Le payload JavaScript peut mener une action forte « , commente Joey Tyson.
(lire la fin de l’article page 2)
Page: 1 2
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…