Faille zero day : évitez d'utiliser Internet Explorer jusqu'à nouvel ordre

Mis à jour le
Faille zero day : évitez d'utiliser Internet Explorer jusqu'à nouvel ordre
 

Une vulnérabilité de « Cross-Site Scripting universelle » permet de piéger n'importe quel site web. En attendant le correctif de Microsoft, il est recommandé d'utiliser un autre navigateur.

Alerte générale : n'ouvrez plus Internet Explorer jusqu’à nouvel ordre ! David Leo, chercheur en sécurité de la société Deusen, a découvert une faille zero-day particulièrement dangereuse dans ce navigateur. Elle permet de piéger les internautes sur de faux sites et de leur voler des informations sensibles. Elle a été testée sur IE 11 et IE 10, et n'épargne même pas le tout nouveau moteur de rendu expérimental de Spartan. Microsoft a été notifié le 13 octobre dernier. La création d’un patch est en cours.

Si cette vulnérabilité est considérée comme tellement critique, c’est parce qu’elle permet de contourner dans le navigateur les règles dites de « Same-Origin », qui restreignent les interactions entre différents domaines web sur une même page. Résultat : grâce à cette faille, les pirates peuvent réaliser n’importe quelle attaque de « Cross-Site Scripting » (XSS) sur n’importe quelle page web consultée par l’internaute. C’est pourquoi David Leo l’appelle une « vulnérabilité XSS universelle ». « Les attaquants peuvent voler n’importe quoi ou injecter n’importe quoi sur un autre domaine », précise le chercheur.  

Injection de code néfaste

Concrètement, cette faille permet de créer des liens malicieux qui donnent l’impression à l’internaute d’arriver sur une page web authentique (un site bancaire par exemple), alors que le code de la page a été changé en douce par un tiers. Le pirate pourrait ainsi afficher un faux formulaire de connexion pour voler les identifiants, ou encore lui rafler tous ses cookies.
L’internaute, lui, n’y voit que du feu, car l’adresse affichée dans le navigateur reste toujours la même, même si la connexion est en HTTPS.

A titre d’exemple, David Leo a piraté le site d’actualités britannique Daily Mail, en remplaçant le contenu par la phrase « Hacked by Deusen ».  

En attendant que Microsoft fournisse un correctif, il est recommandé d’utiliser un autre navigateur tel que Mozilla Firefox ou Google Chrome.

A lire aussi :
Des utilisateurs de Dailymotion piégés par une faille zero-day dans Flash - 02/02/2015

Source :
Seclists.org

8

Votre opinion

Postez un commentaire

8 opinions
  • LeCousinDeMaCousine
    LeCousinDeMaCousine     

    Quand le plus répandu des navigateurs à un bug, le plus grand nombre est touché. A contrario quand on solutionne un problème pour lui on sauve des millions d'utilisateurs.

  • Feebz
    Feebz     

    IE est et reste le seul navigateur à utiliser dans la plupart des entreprises. Oui il y a des failles, comme chaque navigateur ;) Mais les IT en sont rapidement avertis, afin de prendre des mesures et des patchs sont déployés. Ton navigateur n'a pas de faille ? Peut-être bien qu'il ne te l'indique juste pas ;) Je pense à des failles SSL qui sont rester des mois sans que personnes ne le sachent, par exemple ;) Quant à Chrome : Si un produit est gratuit, c'est que c'est toi le produit. Tu cherches ou tapes des infos "confidentielles" et ben Google se les garde sous le coude.

  • Fakrys
    Fakrys     

    en gros il faut éviter pas mal de navigateurs!
    IE donc
    Chrome qui vole nos données persos et les recoupe avec maps, le moteur, youtube, androïd etc...
    les autres qui manquent d'extensions protectrices anti malware, adware etc, bloqueurs de pubs

    Je tiens à mon firefox et ses extensions me sur protégeant, me permettant de développer, et me dispensant totalement de publicités depuis des années (bloqueur de pubs, de pages surgissantes; filtrage de cookies, javascript et flash)

    le choix se restreint!
    difficile d'avoir un navigateur de secours... pour l'instant perso: Opera et Safari.

  • hand875
    hand875     

    Vous avez raison , mais comme disait "Regarder" ces logiciels sont imposés par les IT des entreprises.
    Chez nous c'est IE8 qui est imposé car les apllis maison ne fonctionnent pas toutes sur des versions plus modernes.

  • chob79
    chob79     

    Énormément de grandes entreprises mettent IE en standard sur les postes employés.

  • tmg56
    tmg56     

    Ben voyons, quelle étroitesse d'esprit.
    Et ça: http://www.01net.com/editorial/643126/ghost-la-faille-critique-qui-permet-de-prendre-le-controle-des-systemes-linux/

  • taupette
    taupette     

    Franchement, vous n'en avez pas marre d'utiliser les produits ADOBE ou Microsoft ?

  • DarylWinters
    DarylWinters     

    Franchement, est-ce que quelqu'un sûr cette terre utilise encore Internet Explorer ?

Votre réponse
Postez un commentaire