Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Une faille critique dans Edge permet l'exécution de scripts et la récupération d'identifiants

Mieux vaut désactiver le remplissage automatique
Internet 3 min
Une faille critique dans Edge permet l'exécution de scripts et la récupération d'identifiants
Crédits : rkankaro/iStock

Il est possible de réaliser diverses actions néfastes dans Edge, en contournant certaines mesures de protection. Ce sont les découvertes du chercheur Manuel Caballero, qui détaille sur son blog plusieurs manières d’exploiter ces problèmes. Microsoft est au courant de la situation, mais on ne sait pas encore quand le ou les correctifs seront disponibles.

Le chercheur Manuel Caballero s’est fait une spécialité des soucis de sécurité dans les navigateurs Internet Explorer et Edge. Il indique que Microsoft réagit souvent vite aux problèmes qu’il signale, et il vaudrait mieux que l’éditeur propose rapidement des solutions dans le cas présent, car la faille soulevée peut être exploitée de diverses manières, toutes particulièrement dangereuses.

Les récentes découvertes du chercheur concernent la SOP, ou Same Origin Policy. Cette règle impose à un site en particulier de n’exécuter des scripts que s’ils viennent de son propre domaine. Une mesure qui permet de bloquer en temps normal les attaques de type UXSS (Universal Cross-site Scripting).

Scripts étrangers et remplissage automatique bavard

Dans son dernier billet, particulièrement technique, Caballero montre comment il est possible d’exploiter une faiblesse dans Edge et donc de faire exécuter au sein d’une page un script provenant d’un autre domaine, grâce à diverses techniques (data URI, pages sans nom de domaine et autres). Les différents effets obtenus peuvent tous avoir de graves implications de sécurité.

Par exemple, il est parvenu à faire exécuter sur la page de Bing l’un de ses scripts. Il a réussi également à faire déconnecter un utilisateur de son compte Twitter pour profiter du remplissage automatique des identifiants fourni par Edge, afin d’intercepter les données, se connecter à sa place et publier des tweets. On appréciera le danger.

Notez dans ce deuxième exemple que le souci n’est pas spécifique à Twitter. Cette faiblesse est générale et concerne la fonction de remplissage au grand complet, si la faille parvient à être exploitée. Le chercheur indique par ailleurs que cette faiblesse est un grand « classique » dans les navigateurs. En janvier, le problème avait ainsi concerné Chrome, Safari et Opera, qui avaient tous corrigé la vulnérabilité.

Une automatisation possible via des publicités infectées

Dans le cas présent cependant, le « contournement UXSS/SOP » est bien spécifique à Edge. La situation pourrait empirer si les pirates, d’une manière ou d’une autre, parvenaient à lancer une campagne de « malvertising », c’est-à-dire de publicités infectées ou même de faux contenus créés uniquement pour répandre des scripts malveillants.

Il suffirait donc d’attirer la victime sur un site diffusant de telles publicités, en l’amenant à cliquer sur un lien, quelle que soit la méthode utilisée. Elles se chargeraient alors, par simple affichage, de déclencher les scripts qui exploiteraient la faille et réaliseraient les actions mentionnées plus haut. Et si les pirates parviennent à s’emparer d’un espace publicitaire sur un site connu, ils pourraient s’approprier différents comptes sans que les victimes ne le sachent.

Microsoft au courant, pas de solution complète pour l'instant

Il n’existe pas pour l’instant de solution à ce problème, bien que l’on puisse réduire drastiquement les risques en coupant la fonction de remplissage du navigateur. Cela ne résoudra pas cependant la vulnérabilité centrale, qui est bien le contournement de la Same Origin Policy. Et ce d’autant plus que le chercheur fournit des prototypes d’exploitation (proof-of-concept) et des vidéos de démonstration.

Microsoft est au courant de la situation mais n’a fourni aucun calendrier pour le colmatage de la brèche. L’éditeur a simplement indiqué à Tom’s Hardware qu’il avait un « engagement auprès des utilisateurs » pour fournir des mises à jour « aussi rapidement que possible ».

32 commentaires
Avatar de indyiv INpactien
Avatar de indyivindyiv- 27/04/17 à 16:03:50

Qui utilise Edge ?!

Avatar de novaescorpion Abonné
Avatar de novaescorpionnovaescorpion- 27/04/17 à 16:06:19

C'est quoi Edge ? :francais:

Avatar de Cashiderme INpactien
Avatar de CashidermeCashiderme- 27/04/17 à 16:07:41

novaescorpion a écrit :

C'est quoi Edge ? :francais:

Le truc pour télécharger Firefox

Avatar de Pumpk1in INpactien
Avatar de Pumpk1inPumpk1in- 27/04/17 à 16:14:59

Vivaldi :chinois:

Avatar de Cashiderme INpactien
Avatar de CashidermeCashiderme- 27/04/17 à 16:18:16

Pumpk1in a écrit :

Vivaldi :chinois:

Je juge pas :fumer:

Avatar de 2show7 INpactien
Avatar de 2show72show7- 27/04/17 à 16:31:04

Cashiderme a écrit :

Le truc pour télécharger Firefox

Quand on a plus que ça sous la main et Firefox bloque :transpi: (une remise à jour est parfois salutaire après désinstallation, ça m'est arrivé):transpi:

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 27/04/17 à 17:03:56

Il n’existe pas pour l’instant de solution à ce problème, bien que l’on puisse réduire drastiquement les risques en coupant la fonction de remplissage du navigateur.

Moi j'en ai trouvé une : utiliser un vrai navigateur

Avatar de zefling Abonné
Avatar de zeflingzefling- 27/04/17 à 17:27:43

Pas les gens sous Win7, Android, iOS, Mac et Linux. :D

Édité par zefling le 27/04/2017 à 17:28
Avatar de Juju251 Abonné
Avatar de Juju251Juju251- 27/04/17 à 17:32:11

jackjack2 a écrit :

Moi j'en ai trouvé une : utiliser un vrai navigateur

Ouais, enfin, d'autres navigateurs que Edge ont été touchés par ce genre de failles.

Avatar de jeje07bis INpactien
Avatar de jeje07bisjeje07bis- 27/04/17 à 17:57:55

Juju251 a écrit :

Ouais, enfin, d'autres navigateurs que Edge ont été touchés par ce genre de failles.

sauf que microsoft nous a vendu edge comme un truc ultra sécurisé et ultra performant, et presque 2 ans après la sortie de windows 10, ça reste disons pas terrible. En étant gentil.
je ne parle même pas des extensions qui se comptent sur les 10 doigts de la main...

Il n'est plus possible de commenter cette actualité.
Page 1 / 4