Un expert en sécurité britannique indépendant vient de dévoiler une faille critique zero-day affectant Internet Explorer 11. Microsoft indique travailler à un correctif.
Selon David Leo de la société Deusen, la faille permet de voler l’ensemble des informations sur un domaine qui aurait été piraté et également d’injecter n’importe quelle information dans ledit domaine. La faille affecte Internet Explorer 11 à jour de tous les correctifs sous Windows 7 ou Windows 8.1.
La vulnérabilité permet de bypasser l’une des fonctions clés de sécurité d’Internet Explorer 11, la fameuse “Same-Origin-Policy“, laquelle permet d’éviter (en théorie) les injections de scripts malveillants. La faille permet également de bypasser les restrictions http-vers-https et d’autres éléments sensés assurer la sécurité des pages visitées sous IE.
Microsoft travaille à un correctif
Selon M. Leo, la faille est liée à Universal Cross-site scripting et permet d’exécuter un script à distance et d’injecter le code dans un site web. Le hacker a publié un « proof of concept »(PoC) accessible à cette adresse autour du site DailyMail. Compte tenu de la nature de la faille, un pirate serait capable non seulement de modifier le contenu du site visé mais également de dérober les cookies d’authentification ou les détails de connexion. Dès lors, en possession de ces éléments, il devient possible de dérober l’ensemble du contenu du site.
Dans une réponse adressée à ZDnet, Microsoft indique ne pas être au courant d’une exploitation active de cette faille mais indique travailler à un correctif. Sans doute sera-il disponible lors du prochain Patch Tuesday qui devrait intervenir dans une dizaine de jours. L’éditeur minimise également les effets du phishing grâce à l’option Smart Screen installée par défaut dans les dernières versions du navigateur et invite ses utilisateurs à faire attention à ne pas ouvrir de liens dans des sites douteux et à se déconnecter après chaque visite.
L’alerte avait été relayée par UnderNews la semaine dernière sur Twitter.
Source : MagSecurs
Les commentaires sont fermés.