Depuis la semaine dernière, une nouvelle faille secoue Internet Explorer. Celle-ci permettrait en effet de voler ou d'injecter « n'importe quoi » sur un site tiers. De son côté, Microsoft tente de calmer le jeu en précisant que la faille ne serait pas « activement exploitée » et qu'un correctif est en préparation.
Les failles se suivent, mais ne se ressemblent pas. Tel pourrait être l'adage de ce début d'année. Le lecteur Adobe Flash était en effet récemment victime d'une brèche « 0-day », y compris dans sa dernière version, ce qui signifie qu'elle est d'ores et déjà exploitée. De son côté, Chrome vient de se mettre à jour afin de boucher plus d'une dizaine de failles.
Un contournement de la fonction Same-origin policy
Cette fois-ci, c'est au tour d'Internet Explorer d'être au centre de la tourmente avec une nouvelle faille « 0-day » liée à JavaScript. Le problème viendrait d'un contournement de la fonction « Same-origin policy » présente dans tous les navigateurs récents. Mozilla en donne la définition suivante : « Elle restreint la manière dont un document ou un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine ». Pour faire simple, elle cloisonne donc les données afin d'éviter qu'un site puisse accéder, ou modifier, les données d'un autre site.
David Leo, qui publie tous les détails de cette faille sur Seclists, indique que les conséquences pourraient être fâcheuses : « des pirates pourraient voler n'importe quoi provenant d'un autre domaine, mais aussi injecter ce qu'ils veulent ». Via un lien spécialement conçu pour, un pirate pourrait donc faire croire aux internautes qu'ils arrivent sur un site officiel, alors que le code de la page a été modifié afin de récupérer des informations. David Leo propose d'ailleurs une démonstration en modifiant le contenu d'une fenêtre externe ouverte via son site (le Dailymail.co.uk en l'occurrence).
Microsoft travaille sur un correctif
Pour le moment, aucun patch n'est disponible, mais Microsoft a envoyé un communiqué à plusieurs de nos confrères anglophones : « Afin d'exploiter cette faille, un attaquant devrait d'abord attirer une personne, souvent par la ruse via phishing, sur un site malveillant spécialement conçu ». La société précise que son SmartScreen, « activé par défaut sur les versions récentes d'Internet Explorer, propose justement une protection contre les attaques par phishing ».
Elle ajoute ensuite qu'elle « n'est pas au courant que cette vulnérabilité soit activement exploitée » et que, bien évidemment, elle « travaille afin d'y remédier via une mise à jour ». Cette dernière n'est par contre pas disponible pour le moment. Comme toujours en pareille situation, il est donc recommandé d'éviter de naviguer sur des sites inconnus et d'ouvrir des liens provenant de sources non vérifiées.
Commentaires (114)
#1
Complètement HS (donc à sabrer si besoin) mais W T F :http://www.nextinpact.com/Error/Execute404?aspxerrorpath=/news/
Surement la meilleure page 404 que j’ai vue depuis très longtemps :-)
/clap
#2
cette faille est le graal du phishing en somme !
#3
Une de plus ou une de moins à la limite …
#4
#5
Bien que défenseur du libre et de GNU/Linux, je ne peux m’empêcher de râler sur ceux qui trollent sur Internet Explorer juste parce que c’est IE . Le navigateur a bien changé depuis sa version 6 .
#6
#7
#8
#9
#10
#11
Elle ajoute ensuite qu’elle « n’est pas au courant que cette vulnérabilité soit activement exploitée ».
Il faut être extrêmement naïf pour croire ça, $^*ù de langue de bois quand même…
#12
Ce qui est bien avec IE c’est qu’on voit la même news toutes les semaines.
#13
Ce n’est pas du troll, c’est juste un fait avéré. Internet Explorer est à la masse depuis des lustres sur de nombreux points. Quand à la politique de Microsoft consistant à imposer son navigateur à travers Windows Update, no comment.
#14
Ça fonctionne aussi avec FF …
http://insecure.org/search.html?q=firefox
#15
#16
#17
#18
Non non. Balancer une info polémique sans source ni justification, c’est l’exacte définition du troll.
#19
Hein ? En ça tombe à l’eau ?
Au contraire, c’est maintenant que ça sert ces conseils
#20
#21
Au dela de ca, la vraie faiblesse de IE, c’est qu’il est très peu mis a jour, et quand une faille est reperee, il faut attendre le premier mardi du mois pour avoir le patch. Si la faille est découverte le premier mercredi du mois, il vous faut attendre un mois pour avoir le correctif.
Là celle la elle est pas mal. Microsoft considère qu’elle n’est pas activement exploitée (mais exploitée quand même), donc ce n’est pas urgent, donc ca attendra début mars.
D’ici la, vivez avec, et faites attention où vous mettez les pieds.
#22
Cette faille rend impossible tout auto diagnostic du phising. Sincèrement, elle est vraiment grave cette faille, il faut vraiment arrêter toute utilisation d’IE jusqu’a que ce soit patché.
#23
Ca dépend quel conseil, si comme moi tu te contentes de dire que “avant de renseigné tes identifiant apple assure toi que” :
Bah là, ça tombe un peu à l’eau… :S
#24
#25
#26
#27
#28
#29
#30
#31
Au niveau sécurité, y’a les failles, et y’a la détection des malware.
Au niveau faille, tous les navigateurs en ont.
Et sauf erreur, depuis IE6, MS a largement amélioré les choses, et IE n’a plus rien à envier en terme de sécurité.
Au niveau des malwares, y’a une étude sympathique :)
https://www.nsslabs.com/sites/default/files/public-report/files/Browser%20Securi…
#32
#33
#34
#35
Comme … la majorité des entreprises qui créent des solutions informatiques ? parce que c’est un monde capitaliste et que les boites filent pas ce qu’elles font ?
Attention, je dis pas que le libre, c’est naze. Mais on l’impression que tu découvres le capitalisme quand tu dis ça.
#36
#37
#38
Là où ca peut être chaud c’est si un site normal est infecté (par exemple une page yahoo, un site de cuisine etc.)
Et qu’il tente d’injecter en permanence du code sur des sites précis. Si tu visites un site ciblé tu te fait avoir sans passer par la case phising…
#39
Dans la majorité des cas tu ne peux pas identifier l’émetteur d’un mail, l’adresse d’expédition ca se falsifie tres facilement, et c’est pour ça qu’on a d’ailleurs donné la possibilité d’utiliser des certificat par messagerie… L’ennui (et j’en connais pas la cause), c’est que les mails restent trés rarement signé…
#40
#41
Faux. Micorsoft à déjà patché hors Tuesday patch et plus d’une fois …. Ça à déjà été dit plusieurs fois m’enfin le bashing Microsoft à la vie dur !
Quand la faille est vraiment craignos Microsoft patch comme le font toutes les autres boîtes.
#42
#43
#44
Ce peut-être d’autant plus dangereux, si ce sont les annonceurs qui se sont fait piéger et dont les publicités sont utilisées sur des sites très fréquentés.
#45
#46
#47
#48
Pourquoi tu ne supportes pas le libre alors?
#49
#50
#51
Je ne dis pas le contraire ! Je dis juste que c’est pas le genre des entreprises ! Va demander le code source d’une application à Dassault, tu verras la réponse.
#52
Ou que la faille en question réprésente un faible risque et que la corriger n’est pas prioritaire ?
#53
Pour avoir suivi de loin, Microsoft à bien travaillé sur la correction mais lors des test ils se sont rendu compte que ça faisait planté certaine machine.
" />
Ils ont donc demandé à Google de rallonger la divulgation publique de la faille afin de faire plus de test pour ne pas sortir un patch bancal et Google à refusé et à divulguer le moyen d’utiliser la faille.
Le pataquès est partit de là. Google à fait sa raclure en sachant que Microsoft bossé dessus mais qu’il été confronté à un bug. Et Microsoft à pigné car cela exposé les configs à la faille.
Bref Dallas quoi
#54
À condition d’utiliser un adblocker et que ce ne soit pas passé à travers les mailles du filets. Toutes les pubs ne sont pas forcément bloquées. 
" />
#55
De ce que j’en comprend, le site ciblé est ouvert via window.open, qui retourne un un objet permettant de manipuler le DOM de la fenêtre ouverte. Normalement, ça marche que dans certaines conditions, mais en l’occurence la faille permet d’outrepasser les règles CORS.
C’est légèrement HS, mais j’espère qu’ils vont finir par supprimer cette fonction window.open, je ne l’ai jamais vue utilisée à bon escient et ça pose souvent des problèmes …
#56
#57
#58
#59
Simple oui !
Efficace je ne sais pas. Je pense que la majorité des gens fréquentant des forums ne sont pas sous Internet Explorer. Donc si tu balances un faux lien, il y a moyen que tu te fasses repérer assez vite.
#60
#61
#62
Vous préférez qui ?
IE ou Safari ?
Chromium ou Firefox, il ne reste plus que cela.
#63
#64
NoFlash, NoScript…. No Problem !
" />
#65
NoPC … No Problem
" />
#66
+1
#67
#68
#69
Je suis pas d’accord: les gens qui tolerent le libre sont tous des hyppie nudiste drogué vegetarien bobo! Regardez Stallman…
#70
Ok, merci. En fait, depuis 2-3 ans je n’ai pas eu l’occasion d’utiliser un PC sous Windows et je me demandais du coup si cela avait changé. Il semble que je sois un doux rêveur.
#71
#72
#73
#74
“tous les navigateurs en ont” c’est juste un constat d’échec.
" /> ) de voir des tests croisés des différentes boites qui créés ces navigateur pour se faire une idée:
" />
Le problème c’est que pour IE (et les autre navigateurs closed source) on a aucune idée de l’ordre de grandeur de l’échec.
Quand à l’étude, bien que très intéressante, elle date un peu maintenant et la méthodologie devrait être intégrée au PDF.
Et elle ne pointe qu’une partie de la sécurité. par exemple un site internet avec un problème de certificat, IE va pas t’empêcher d’aller sur le site, là où Chrome et Firefox t’en empêche.
Donc la sécurité a été accrue sur certain point de IE.
il serait intéressant (
Mozilla testerait IE Chrome et Safari
Microsoft testerait Firefox Chrome et Safari
etc…
et après ils se tapent dessus pour dire que leur méthodologie est biaisée, mais au moins on aura des aperçus de chacun.
#75
#76
#77
#78
#79
#80
#81
Une plage nudiste sous licence creative commons ?
" />
#82
Deux choses qui me font rire ici :
#83
#84
#85
je n’ai jamais dis ça.
je pense juste que ces failles peuvent être détectées plus facilement et colmatées plus rapidement quand elles sont critiques.
#86
#87
#88
#89
Bien sûr il y a des extensions de confiance avec des développeurs ou des sociétés connues de longue date derrière, mais je doute que la majorité des gens se contentent de celles-ci ou fassent un “background check” avant d’installer une extension …
#90
#91
#92
#93
De manière général, tu as raison en ce qui concerne la rapidité de mise au point et de publication d’un correctif. Par contre, pour celle de détection de failles c’est faux.
Quand tu tombe sur des logiciels anciens (créer dans les années 80-90), les anciennes briques du projet qui n’ont jamais été refaites (ça marche alors pourquoi y toucher) deviennent illisibles à cause de la différence de standards ou de leur non respect, c’est compliqué de les auditer.
L’article de Ars Technica sur GPG illustre bien la situation :http://arstechnica.com/security/2015/02/once-starving-gnupg-crypto-project-gets-…
#94
#95
Euuu, il y a 2 critères pour déterminer la criticité d’une faille : le première est l’impact qu’elle à sur le système affecté (donc le pouvoir qu’elle donne à l’attaquant), et le second étant sa facilité d’exploitation (sa probabilité d’occurence).
De plus, une fois qu’une faille est exploitée, il ne faut pas très longtemps pour que la vulnérabilité soit pubiée que ce soit sur du close-source ou de l’open source.
#96
Remettre en cause l’installation d’IE par Windows Update mais en revanche aucun problème quand c’est pour le faire de son gestionnaire de paquet.
" />
Il n’est imposé nul part, il est proposé par Windows Update et on peut cacher cette proposition le concernant. Là encore quand des tonnes de paquets suggérés/recommandés inutiles sont indiqué comme à installer par défaut sur de nombreuses distribs lorsqu’on ne veut qu’un seul programme il n’y curieusement aucun problème.
#doublestandards
Sinon IE, comme le reste et idem ailleurs, son installation ne dépend pas de Windows Update.
#97
#98
#99
#100
#101
#102
C’est une histoire de confiance. Si Dassault plantait autant d’avions que Microsoft ses applis, lui aurait fait faillite depuis longtemps.
#103
Dassault est maître de son hardware du début à la fin, on pourrait faire le comparatif avec Apple pour le coup.
MS gère une multitude de matériels niveau OS ce qui impose des contraintes différentes. Et rien ne prouve que les softs de Dassault n’ont pas des failles de sécurité.
#104
#105
#106
#107
#108
Bon la faille a été patché !
" />
Qui a dit qu’il faudrait attendre le mois prochain ?