Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Internet Explorer victime d'une faille, Microsoft sur la brèche

Chacun son tour...
Internet 2 min
Internet Explorer victime d'une faille, Microsoft sur la brèche
Crédits : Andrey Popov/iStock/Thinkstock

Depuis la semaine dernière, une nouvelle faille secoue Internet Explorer. Celle-ci permettrait en effet de voler ou d'injecter « n'importe quoi » sur un site tiers. De son côté, Microsoft tente de calmer le jeu en précisant que la faille ne serait pas « activement exploitée » et qu'un correctif est en préparation.

Les failles se suivent, mais ne se ressemblent pas. Tel pourrait être l'adage de ce début d'année. Le lecteur Adobe Flash était en effet récemment victime d'une brèche « 0-day », y compris dans sa dernière version, ce qui signifie qu'elle est d'ores et déjà exploitée. De son côté, Chrome vient de se mettre à jour afin de boucher plus d'une dizaine de failles.

Un contournement de la fonction Same-origin policy

Cette fois-ci, c'est au tour d'Internet Explorer d'être au centre de la tourmente avec une nouvelle faille « 0-day » liée à JavaScript. Le problème viendrait d'un contournement de la fonction « Same-origin policy » présente dans tous les navigateurs récents. Mozilla en donne la définition suivante : « Elle restreint la manière dont un document ou un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine ». Pour faire simple, elle cloisonne donc les données afin d'éviter qu'un site puisse accéder, ou modifier, les données d'un autre site. 

David Leo, qui publie tous les détails de cette faille sur Seclists, indique que les conséquences pourraient être fâcheuses : « des pirates pourraient voler n'importe quoi provenant d'un autre domaine, mais aussi injecter ce qu'ils veulent ». Via un lien spécialement conçu pour, un pirate pourrait donc faire croire aux internautes qu'ils arrivent sur un site officiel, alors que le code de la page a été modifié afin de récupérer des informations. David Leo propose d'ailleurs une démonstration en modifiant le contenu d'une fenêtre externe ouverte via son site (le Dailymail.co.uk en l'occurrence).

Internet Explorer faille XSS

Microsoft travaille sur un correctif

Pour le moment, aucun patch n'est disponible, mais Microsoft a envoyé un communiqué à plusieurs de nos confrères anglophones : « Afin d'exploiter cette faille, un attaquant devrait d'abord attirer une personne, souvent par la ruse via phishing, sur un site malveillant spécialement conçu ». La société précise que son SmartScreen, « activé par défaut sur les versions récentes d'Internet Explorer, propose justement une protection contre les attaques par phishing ».

Elle ajoute ensuite qu'elle « n'est pas au courant que cette vulnérabilité soit activement exploitée » et que, bien évidemment, elle « travaille afin d'y remédier via une mise à jour ». Cette dernière n'est par contre pas disponible pour le moment. Comme toujours en pareille situation, il est donc recommandé d'éviter de naviguer sur des sites inconnus et d'ouvrir des liens provenant de sources non vérifiées.

114 commentaires
Avatar de Northernlights Abonné
Avatar de NorthernlightsNorthernlights- 09/02/15 à 08:29:23
Édité par atomusk le 09/02/2015 à 09:10
Avatar de Berri-UQAM INpactien
Avatar de Berri-UQAMBerri-UQAM- 09/02/15 à 08:32:20
Édité par atomusk le 09/02/2015 à 09:10
Avatar de Enoxya INpactien
Avatar de EnoxyaEnoxya- 09/02/15 à 08:33:18

Complètement HS (donc à sabrer si besoin) mais W T F :http://www.nextinpact.com/Error/Execute404?aspxerrorpath=/news/

Surement la meilleure page 404 que j'ai vue depuis très longtemps :-)
/clap

Avatar de hycday INpactien
Avatar de hycdayhycday- 09/02/15 à 08:36:39

cette faille est le graal du phishing en somme !

Avatar de Elitis INpactien
Avatar de ElitisElitis- 09/02/15 à 08:36:46

Une de plus ou une de moins à la limite ...

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 09/02/15 à 08:39:57

Enoxya a écrit :

Complètement HS (donc à sabrer si besoin) mais W T F :http://www.nextinpact.com/Error/Execute404?aspxerrorpath=/news/

Surement la meilleure page 404 que j'ai vue depuis très longtemps :-)
/clap

y a au moins 60% de mes collègues (en étant hyper bienveillant sur le chiffre...)  que ça paniquerait ^_^
(Et le développement de l'acronyme HADOPI est priceless :incline: )

Avatar de alegui INpactien
Avatar de aleguialegui- 09/02/15 à 08:41:38

Bien que défenseur du libre et de GNU/Linux, je ne peux m'empêcher de râler sur ceux qui trollent sur Internet Explorer juste parce que c'est IE . Le navigateur a bien changé depuis sa version 6 .

Avatar de vloz INpactien
Avatar de vlozvloz- 09/02/15 à 08:52:37

hycday a écrit :

cette faille est le graal du phishing en somme !

Clairement... Tous les conseils que l'on donne pour eviter le phishing tombe à l'eau avec un truc comme ça...

Avatar de lincruste_2_la vengeance INpactien
Avatar de lincruste_2_la vengeancelincruste_2_la vengeance- 09/02/15 à 08:53:36

alegui a écrit :

Bien que défenseur du libre et de GNU/Linux, je ne peux m'empêcher de râler sur ceux qui trollent sur Internet Explorer juste parce que c'est IE . Le navigateur a bien changé depuis sa version 6 .

Si c'est drôle y'a pas de problème. Mais c'est vrai que 9 fois sur 10 c'est bien bien lourd.
Accessoirement, pourquoi es-tu "défenseur du libre" ?

Avatar de Nozalys Abonné
Avatar de NozalysNozalys- 09/02/15 à 08:55:36

alegui a écrit :

Bien que défenseur du libre et de GNU/Linux, je ne peux m'empêcher de râler sur ceux qui trollent sur Internet Explorer juste parce que c'est IE . Le navigateur a bien changé depuis sa version 6 .

Totalement d'accord. IE6 à fait probablement le plus de tort à IE. Mais faut évoluer les gars, c'était en 2001 !!! Déjà depuis IE9 il faut le reconnaître, c'était redevenu un bon navigateur. IE9 c'était en 2011. Et IE11 aujourd'hui, est un très bon navigateur, et ce depuis fin 2013...

Édité par Nozalys le 09/02/2015 à 08:56
Il n'est plus possible de commenter cette actualité.
Page 1 / 12