Depuis la semaine dernière, une nouvelle faille secoue Internet Explorer. Celle-ci permettrait en effet de voler ou d'injecter « n'importe quoi » sur un site tiers. De son côté, Microsoft tente de calmer le jeu en précisant que la faille ne serait pas « activement exploitée » et qu'un correctif est en préparation.
Les failles se suivent, mais ne se ressemblent pas. Tel pourrait être l'adage de ce début d'année. Le lecteur Adobe Flash était en effet récemment victime d'une brèche « 0-day », y compris dans sa dernière version, ce qui signifie qu'elle est d'ores et déjà exploitée. De son côté, Chrome vient de se mettre à jour afin de boucher plus d'une dizaine de failles.
Un contournement de la fonction Same-origin policy
Cette fois-ci, c'est au tour d'Internet Explorer d'être au centre de la tourmente avec une nouvelle faille « 0-day » liée à JavaScript. Le problème viendrait d'un contournement de la fonction « Same-origin policy » présente dans tous les navigateurs récents. Mozilla en donne la définition suivante : « Elle restreint la manière dont un document ou un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine ». Pour faire simple, elle cloisonne donc les données afin d'éviter qu'un site puisse accéder, ou modifier, les données d'un autre site.
David Leo, qui publie tous les détails de cette faille sur Seclists, indique que les conséquences pourraient être fâcheuses : « des pirates pourraient voler n'importe quoi provenant d'un autre domaine, mais aussi injecter ce qu'ils veulent ». Via un lien spécialement conçu pour, un pirate pourrait donc faire croire aux internautes qu'ils arrivent sur un site officiel, alors que le code de la page a été modifié afin de récupérer des informations. David Leo propose d'ailleurs une démonstration en modifiant le contenu d'une fenêtre externe ouverte via son site (le Dailymail.co.uk en l'occurrence).
Microsoft travaille sur un correctif
Pour le moment, aucun patch n'est disponible, mais Microsoft a envoyé un communiqué à plusieurs de nos confrères anglophones : « Afin d'exploiter cette faille, un attaquant devrait d'abord attirer une personne, souvent par la ruse via phishing, sur un site malveillant spécialement conçu ». La société précise que son SmartScreen, « activé par défaut sur les versions récentes d'Internet Explorer, propose justement une protection contre les attaques par phishing ».
Elle ajoute ensuite qu'elle « n'est pas au courant que cette vulnérabilité soit activement exploitée » et que, bien évidemment, elle « travaille afin d'y remédier via une mise à jour ». Cette dernière n'est par contre pas disponible pour le moment. Comme toujours en pareille situation, il est donc recommandé d'éviter de naviguer sur des sites inconnus et d'ouvrir des liens provenant de sources non vérifiées.
