Faille zero day : évitez d'utiliser Internet Explorer jusqu'à nouvel ordre

Mis à jour le
Faille zero day : évitez d'utiliser Internet Explorer jusqu'à nouvel ordre
 

Une vulnérabilité de « Cross-Site Scripting universelle » permet de piéger n'importe quel site web. En attendant le correctif de Microsoft, il est recommandé d'utiliser un autre navigateur.

Alerte générale : n'ouvrez plus Internet Explorer jusqu’à nouvel ordre ! David Leo, chercheur en sécurité de la société Deusen, a découvert une faille zero-day particulièrement dangereuse dans ce navigateur. Elle permet de piéger les internautes sur de faux sites et de leur voler des informations sensibles. Elle a été testée sur IE 11 et IE 10, et n'épargne même pas le tout nouveau moteur de rendu expérimental de Spartan. Microsoft a été notifié le 13 octobre dernier. La création d’un patch est en cours.

Si cette vulnérabilité est considérée comme tellement critique, c’est parce qu’elle permet de contourner dans le navigateur les règles dites de « Same-Origin », qui restreignent les interactions entre différents domaines web sur une même page. Résultat : grâce à cette faille, les pirates peuvent réaliser n’importe quelle attaque de « Cross-Site Scripting » (XSS) sur n’importe quelle page web consultée par l’internaute. C’est pourquoi David Leo l’appelle une « vulnérabilité XSS universelle ». « Les attaquants peuvent voler n’importe quoi ou injecter n’importe quoi sur un autre domaine », précise le chercheur.  

Injection de code néfaste

Concrètement, cette faille permet de créer des liens malicieux qui donnent l’impression à l’internaute d’arriver sur une page web authentique (un site bancaire par exemple), alors que le code de la page a été changé en douce par un tiers. Le pirate pourrait ainsi afficher un faux formulaire de connexion pour voler les identifiants, ou encore lui rafler tous ses cookies.
L’internaute, lui, n’y voit que du feu, car l’adresse affichée dans le navigateur reste toujours la même, même si la connexion est en HTTPS.

A titre d’exemple, David Leo a piraté le site d’actualités britannique Daily Mail, en remplaçant le contenu par la phrase « Hacked by Deusen ».  

En attendant que Microsoft fournisse un correctif, il est recommandé d’utiliser un autre navigateur tel que Mozilla Firefox ou Google Chrome.

A lire aussi :
Des utilisateurs de Dailymotion piégés par une faille zero-day dans Flash - 02/02/2015

Source :
Seclists.org