Internet Explorer 11 affecté par une faille critique
Qui rendrait les sites Web « vulnérables aux attaques XSS »
Une nouvelle faille de sécurité vient d’être découverte dans Internet Explorer 11. Celle-ci serait assez inquiétante, puisqu’elle permettrait de contourner une des techniques de sécurité les plus utilisées par les navigateurs web, connue sous le nom de : Same-Origin Policy.
Le Same-Origin Policy a pour but d’isoler les scripts d’une page web de façon à ce qu’ils ne puissent pas accéder au contenu d’une autre page web n’ayant pas la même origine. C’est ce qui empêche, par exemple, un site d’accéder aux cookies et aux informations de session d’un autre site ouvert sur le même navigateur.
David Leo, le chercheur qui avait découvert cette faille, avait publié le samedi dernier sur SecureLists une démonstration de l’attaque où il utilise le site dailymail.co.uk comme cible pour y injecter le contenu d’un autre site tout en faisant croire à Internet Explorer qu’il s’agit d’un contenu interne. Du coup, le navigateur continue à indiquer dailymail.co.uk dans la barre d’adresse en trompant l’utilisateur. Le hacker pourrait donc insérer des scripts de phishing très crédibles pour récupérer le mot de passe de l’internaute ou son numéro de carte bancaire par exemple.
Plus inquiétant encore, un ingénieur en sécurité chez Tumblr du nom de Joey Fowler publie un autre post sur SecureLists où il déclare que l'attaque fonctionne également si le site ciblé utilise le protocole HTTPS (censé être plus sécurisé que le protocole HTTP). Au fait, selon les tests qu’il aurait effectués, cette faille d’Internet Explorer rend tous les sites vulnérables aux attaques XSS, sauf ceux qui utilisent l’en-tête X-Frame-Options avec les valeurs « Deny » ou « Same-Origin ».
Source : SecureLists
Et vous ?
Utilisez-vous Internet Explorer 11 ?
Que pensez-vous de cette faille ? Et comment s’en protéger ?
Partager