Publié par UnderNews Actu - Télécharger l'application Android

Un expert en sécurité britannique indépendant vient de dévoiler une faille critique zero-day affectant Internet Explorer 11. Microsoft indique travailler à un correctif.

Selon David Leo de la société Deusen, la faille permet de voler l’ensemble des informations sur un domaine qui aurait été piraté et également d’injecter n’importe quelle information dans ledit domaine. La faille affecte Internet Explorer 11 à jour de tous les correctifs sous Windows 7 ou Windows 8.1. 

ExpressVPN

La vulnérabilité permet de bypasser l’une des fonctions clés de sécurité d’Internet Explorer 11, la fameuse  “Same-Origin-Policy“, laquelle permet d’éviter (en théorie) les injections de scripts malveillants. La faille permet également de bypasser les restrictions http-vers-https et d’autres éléments sensés assurer la sécurité des pages visitées sous IE.

Microsoft travaille à un correctif

Selon M. Leo, la faille est liée à Universal Cross-site scripting et permet d’exécuter un script à distance et d’injecter le code dans un site web. Le hacker a publié un « proof of concept »(PoC)  accessible à cette adresse autour du site DailyMail. Compte tenu de la nature de la faille, un pirate serait capable non seulement de modifier le contenu du site visé mais également de dérober les cookies d’authentification ou les détails de connexion. Dès lors, en possession de ces éléments, il devient possible de dérober l’ensemble du contenu du site.

Dans une réponse adressée à ZDnet, Microsoft indique ne pas être au courant d’une exploitation active de cette faille mais indique travailler à un correctif. Sans doute sera-il disponible lors du prochain Patch Tuesday qui devrait intervenir dans une dizaine de jours. L’éditeur minimise également les effets du phishing grâce à l’option Smart Screen installée par défaut dans les dernières versions du navigateur et invite ses utilisateurs à faire attention à ne pas ouvrir de liens dans des sites douteux et à se déconnecter après chaque visite.

L’alerte avait été relayée par UnderNews la semaine dernière sur Twitter.

 

Source : MagSecurs

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 3,00 sur 5)
Loading...

Mots clés : , , , , ,


Vos réactions

Ils parlent du sujet :

  1. […] l’année 2015 commence vraiment mal pour la firme. Seule la toute récente faille zero-day touchant Internet Explorer 11 n’a pas été corrigée actuellement. Le module Flash proposé avec IE 10 et 11 sous Windows […]





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.