La semaine dernière, un expert américain en sécurité IT a découvert une nouvelle faille de type cross-site scripting (XSS) sur Facebook.
Pourtant,l’équipe de développement du réseau social a dévoilé fin mars un correctif pour colmater les brèches sur l’interface de programmation (API) pour l’application mobile Facebook.
Mais il subsiste au moins un agent malware qui exploite cette nouvelle faille XSS.
L’alerte a été donnée via Twitter. « Trouvé une autre instance de cette faille XSS sur l’application Facebook. Et cela concerne son équipe de développement. Ne pas cliquer sur le lien pour visionner une vidéo baptisée Pal Pushes Bully », avertit Joey Tyson.
Facebook l’a informé qu’il ferait le nécessaire pour traquer la faille et qu’un correctif sera proposé « prochainement ».
Joey Tyson a confirmé à eWeek que cette faille est différente de celle découverte sur l’API mobile de Facebook corrigée le 31 mars.
Cet ingénieur collabore avec Gemini Security Solutions, un cabinet américain en conseils et audits en sécurité IT.
Il publie régulièrement des contributions sur les questions de protection de la la vie privée et sur les vulnérabilités sur les réseaux sociaux (blog Social Hacking).
Selon Joey Tyson, la faille API exploite la manière dont les navigateurs chargent des liens particuliers formatés dans « une certaine syntaxe JavaScript ».
L’expert considère que cette faille se révèle plus sophistiquée que la plupart des attaques XSS recensées.
Car la vidéo gère directement la charge malware en passant outre l’utilisateur, qui se retrouve d’emblée démuni.
« Le payload JavaScript peut mener une action forte « , commente Joey Tyson.
(lire la fin de l’article page 2)
Page: 1 2
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…