Il est possible de réaliser diverses actions néfastes dans Edge, en contournant certaines mesures de protection. Ce sont les découvertes du chercheur Manuel Caballero, qui détaille sur son blog plusieurs manières d’exploiter ces problèmes. Microsoft est au courant de la situation, mais on ne sait pas encore quand le ou les correctifs seront disponibles.
Le chercheur Manuel Caballero s’est fait une spécialité des soucis de sécurité dans les navigateurs Internet Explorer et Edge. Il indique que Microsoft réagit souvent vite aux problèmes qu’il signale, et il vaudrait mieux que l’éditeur propose rapidement des solutions dans le cas présent, car la faille soulevée peut être exploitée de diverses manières, toutes particulièrement dangereuses.
Les récentes découvertes du chercheur concernent la SOP, ou Same Origin Policy. Cette règle impose à un site en particulier de n’exécuter des scripts que s’ils viennent de son propre domaine. Une mesure qui permet de bloquer en temps normal les attaques de type UXSS (Universal Cross-site Scripting).
Scripts étrangers et remplissage automatique bavard
Dans son dernier billet, particulièrement technique, Caballero montre comment il est possible d’exploiter une faiblesse dans Edge et donc de faire exécuter au sein d’une page un script provenant d’un autre domaine, grâce à diverses techniques (data URI, pages sans nom de domaine et autres). Les différents effets obtenus peuvent tous avoir de graves implications de sécurité.
Par exemple, il est parvenu à faire exécuter sur la page de Bing l’un de ses scripts. Il a réussi également à faire déconnecter un utilisateur de son compte Twitter pour profiter du remplissage automatique des identifiants fourni par Edge, afin d’intercepter les données, se connecter à sa place et publier des tweets. On appréciera le danger.
Notez dans ce deuxième exemple que le souci n’est pas spécifique à Twitter. Cette faiblesse est générale et concerne la fonction de remplissage au grand complet, si la faille parvient à être exploitée. Le chercheur indique par ailleurs que cette faiblesse est un grand « classique » dans les navigateurs. En janvier, le problème avait ainsi concerné Chrome, Safari et Opera, qui avaient tous corrigé la vulnérabilité.
Une automatisation possible via des publicités infectées
Dans le cas présent cependant, le « contournement UXSS/SOP » est bien spécifique à Edge. La situation pourrait empirer si les pirates, d’une manière ou d’une autre, parvenaient à lancer une campagne de « malvertising », c’est-à-dire de publicités infectées ou même de faux contenus créés uniquement pour répandre des scripts malveillants.
Il suffirait donc d’attirer la victime sur un site diffusant de telles publicités, en l’amenant à cliquer sur un lien, quelle que soit la méthode utilisée. Elles se chargeraient alors, par simple affichage, de déclencher les scripts qui exploiteraient la faille et réaliseraient les actions mentionnées plus haut. Et si les pirates parviennent à s’emparer d’un espace publicitaire sur un site connu, ils pourraient s’approprier différents comptes sans que les victimes ne le sachent.
Microsoft au courant, pas de solution complète pour l'instant
Il n’existe pas pour l’instant de solution à ce problème, bien que l’on puisse réduire drastiquement les risques en coupant la fonction de remplissage du navigateur. Cela ne résoudra pas cependant la vulnérabilité centrale, qui est bien le contournement de la Same Origin Policy. Et ce d’autant plus que le chercheur fournit des prototypes d’exploitation (proof-of-concept) et des vidéos de démonstration.
Microsoft est au courant de la situation mais n’a fourni aucun calendrier pour le colmatage de la brèche. L’éditeur a simplement indiqué à Tom’s Hardware qu’il avait un « engagement auprès des utilisateurs » pour fournir des mises à jour « aussi rapidement que possible ».
Commentaires (32)
#1
Qui utilise Edge ?!
#2
C’est quoi Edge ? " />
#3
#4
Vivaldi " />
#5
#6
#7
Il n’existe pas pour l’instant de solution à ce problème, bien que l’on puisse réduire drastiquement les risques en coupant la fonction de remplissage du navigateur.
Moi j’en ai trouvé une : utiliser un vrai navigateur
#8
Pas les gens sous Win7, Android, iOS, Mac et Linux. " />
#9
#10
#11
Bonjour,
C’est quand même un peu fort de café de lire ce genre de commentaires…Il ne se passe pas un mois sans qu’un des navigateurs (soi-disant au top…) cités ne soit pas le sujet d’une faille (voir de plusieurs) …Et c’est bien peu connaître Edge que de le descendre comme vous le faites
Je dis ça, je ne dis rien " />
#12
Qu’en pense Bono ?
—>[]
#13
Et Microsft de continuer à prétendre que Edge est le plus sécurisé des navigateurs…
#14
J’espère qu’il prétend pas qu’il est stable. C’est tellement simple de le faire planter sur une grosse appli quand il a la console ouverte… J’ai même trouvé un bug aujourd’hui dans Edge qui n’existe pas dans IE11. J’ai trouvé ça très fort.
#15
#16
#17
Trolldi : Chrome c’est mieux !
#18
Internet Explorer inside 😂
#19
#20
À propos de Chrome, connaissez vous Chromium ? Je l’utilise et il est vraiment pas mal. C’est un navigateur Open Source .
#21
#22
Ça pourrait être plus alléchant si tu précisais que Chromium + extensions Google (usuellement ayant pour but le viol en règle de la vie privée) = Chrome.
#23
" />
#24
#25
Idem de mon coté.
#26
Personnellement, j’utilise souvent EDGE et je trouve que c’est un très bon navigateur.
Microsoft comblera cette faille rapidement, car leurs ingénieurs ne sont pas des manchots (je n’ai pas écrit pingouin " />).
Merci pour tous les crachats sur Microsoft qui abondent sur ce site : cela prouve que les ados boutonneux y sont très nombreux !! " />
#27
Des failles oui, mais je ne me rappelle pas avoir vu des failles capable de piquer des identifiants et se faire passer pour toi ensuite " />
#28
" />" />
#29
#30
Pourtant, il est dit dans la news que le même genre de faille a été corrigé sur les autres navigateurs il y a peu…
#31
Ah oui tiens… donc le problème est que Edge est en retard sur le correctif ?
Enfin effectivement je me suis gouré.
#32
Plutôt qu’il a fallu plus de temps pour trouver le problème dans Edge (soit par manque d’intérêt, soit que c’était un peu plus compliquer à trouver).