Une faille critique dans Edge permet l'exécution de scripts et la récupération d'identifiants

Une faille critique dans Edge permet l’exécution de scripts et la récupération d’identifiants

Mieux vaut désactiver le remplissage automatique

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

27/04/2017 4 minutes
32

Une faille critique dans Edge permet l'exécution de scripts et la récupération d'identifiants

Il est possible de réaliser diverses actions néfastes dans Edge, en contournant certaines mesures de protection. Ce sont les découvertes du chercheur Manuel Caballero, qui détaille sur son blog plusieurs manières d’exploiter ces problèmes. Microsoft est au courant de la situation, mais on ne sait pas encore quand le ou les correctifs seront disponibles.

Le chercheur Manuel Caballero s’est fait une spécialité des soucis de sécurité dans les navigateurs Internet Explorer et Edge. Il indique que Microsoft réagit souvent vite aux problèmes qu’il signale, et il vaudrait mieux que l’éditeur propose rapidement des solutions dans le cas présent, car la faille soulevée peut être exploitée de diverses manières, toutes particulièrement dangereuses.

Les récentes découvertes du chercheur concernent la SOP, ou Same Origin Policy. Cette règle impose à un site en particulier de n’exécuter des scripts que s’ils viennent de son propre domaine. Une mesure qui permet de bloquer en temps normal les attaques de type UXSS (Universal Cross-site Scripting).

Scripts étrangers et remplissage automatique bavard

Dans son dernier billet, particulièrement technique, Caballero montre comment il est possible d’exploiter une faiblesse dans Edge et donc de faire exécuter au sein d’une page un script provenant d’un autre domaine, grâce à diverses techniques (data URI, pages sans nom de domaine et autres). Les différents effets obtenus peuvent tous avoir de graves implications de sécurité.

Par exemple, il est parvenu à faire exécuter sur la page de Bing l’un de ses scripts. Il a réussi également à faire déconnecter un utilisateur de son compte Twitter pour profiter du remplissage automatique des identifiants fourni par Edge, afin d’intercepter les données, se connecter à sa place et publier des tweets. On appréciera le danger.

Notez dans ce deuxième exemple que le souci n’est pas spécifique à Twitter. Cette faiblesse est générale et concerne la fonction de remplissage au grand complet, si la faille parvient à être exploitée. Le chercheur indique par ailleurs que cette faiblesse est un grand « classique » dans les navigateurs. En janvier, le problème avait ainsi concerné Chrome, Safari et Opera, qui avaient tous corrigé la vulnérabilité.

Une automatisation possible via des publicités infectées

Dans le cas présent cependant, le « contournement UXSS/SOP » est bien spécifique à Edge. La situation pourrait empirer si les pirates, d’une manière ou d’une autre, parvenaient à lancer une campagne de « malvertising », c’est-à-dire de publicités infectées ou même de faux contenus créés uniquement pour répandre des scripts malveillants.

Il suffirait donc d’attirer la victime sur un site diffusant de telles publicités, en l’amenant à cliquer sur un lien, quelle que soit la méthode utilisée. Elles se chargeraient alors, par simple affichage, de déclencher les scripts qui exploiteraient la faille et réaliseraient les actions mentionnées plus haut. Et si les pirates parviennent à s’emparer d’un espace publicitaire sur un site connu, ils pourraient s’approprier différents comptes sans que les victimes ne le sachent.

Microsoft au courant, pas de solution complète pour l'instant

Il n’existe pas pour l’instant de solution à ce problème, bien que l’on puisse réduire drastiquement les risques en coupant la fonction de remplissage du navigateur. Cela ne résoudra pas cependant la vulnérabilité centrale, qui est bien le contournement de la Same Origin Policy. Et ce d’autant plus que le chercheur fournit des prototypes d’exploitation (proof-of-concept) et des vidéos de démonstration.

Microsoft est au courant de la situation mais n’a fourni aucun calendrier pour le colmatage de la brèche. L’éditeur a simplement indiqué à Tom’s Hardware qu’il avait un « engagement auprès des utilisateurs » pour fournir des mises à jour « aussi rapidement que possible ».

32

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Scripts étrangers et remplissage automatique bavard

Une automatisation possible via des publicités infectées

Microsoft au courant, pas de solution complète pour l'instant

Commentaires (32)


Qui utilise Edge ?!


C’est quoi Edge ? <img data-src=" />








novaescorpion a écrit :



C’est quoi Edge ? <img data-src=" />







Le truc pour télécharger Firefox



Vivaldi&nbsp;<img data-src=" />








Pumpk1in a écrit :



Vivaldi <img data-src=" />







Je juge pas <img data-src=" />









Cashiderme a écrit :



Le truc pour télécharger Firefox







Quand on a plus que ça sous la main et Firefox bloque <img data-src=" /> (une remise à jour est parfois salutaire après désinstallation, ça m’est arrivé)<img data-src=" />





Il n’existe pas pour l’instant de solution à ce problème, bien que l’on puisse réduire drastiquement les risques en coupant la fonction de remplissage du navigateur.





Moi j’en ai trouvé une : utiliser un vrai navigateur


Pas les gens sous Win7, Android, iOS, Mac et Linux. <img data-src=" />








jackjack2 a écrit :



Moi j’en ai trouvé une : utiliser un vrai navigateur





Ouais, enfin, d’autres navigateurs que Edge ont été touchés par ce genre de failles.









Juju251 a écrit :



Ouais, enfin, d’autres navigateurs que Edge ont été touchés par ce genre de failles.





sauf que microsoft nous a vendu edge comme un truc ultra sécurisé et ultra performant, et presque 2 ans après la sortie de windows 10, ça reste disons pas terrible. En étant gentil.

je ne parle même pas des extensions qui se comptent sur les 10 doigts de la main…



Bonjour,



C’est quand même un peu fort de café de lire ce genre de commentaires…Il ne se passe pas un mois sans qu’un des navigateurs (soi-disant au top…) cités ne soit pas le sujet d’une faille (voir de plusieurs) …Et c’est bien peu connaître Edge que de le descendre comme vous le faites

&nbsp;Je dis ça, je ne dis rien&nbsp;<img data-src=" />


Qu’en pense Bono ?



—&gt;[]


Et Microsft de continuer à prétendre que Edge est le plus sécurisé des navigateurs…


J’espère qu’il prétend pas qu’il est stable. C’est tellement simple de le faire planter sur une grosse appli quand il a la console ouverte… J’ai même trouvé un bug aujourd’hui dans Edge qui n’existe pas dans IE11. J’ai trouvé ça très fort.








jb18v a écrit :



Qu’en pense Bono ?



—&gt;[]





<img data-src=" />









jb18v a écrit :



Qu’en pense Bono ?



—&gt;[]





<img data-src=" />



Trolldi : Chrome c’est mieux !


Internet Explorer inside 😂








indyiv a écrit :



Qui utilise Edge ?!





Moi, et c’est un des navigateurs que je préfère avec Firefox.

Chrome est banni chez moi.



Par contre, il est perfectible, c’est sûr, mais il remplit la fonction qu’on lui a attribué.

Edge n’est pas un mauvais navigateur, il ne lui manque que certaines options (contre la pub, j’ai ce qu’il faut avec Edge, par contre).



À propos de Chrome, connaissez vous Chromium ? Je l’utilise et il est vraiment pas mal. C’est un navigateur Open Source .








jb18v a écrit :



Qu’en pense Bono ?







il parait que Edge aurait lui même déclaré:

“Don’t grab, Don’t cheat complete, Don’t fill out any forms”

“Don’t crawl, Don’t spy, Don’t lie, Don’t leak”

“Don’t connect, protect.”



prémonitoire, non ? <img data-src=" />



Ça pourrait être plus alléchant si tu précisais que Chromium + extensions Google (usuellement ayant pour but le viol en règle de la vie privée) = Chrome.








TheDarkFlooder a écrit :



connaissez vous Chromium ?





Les sympathisants UPR militent pour Chromium maintenant ? <img data-src=" />



Personnellement, j’utilise souvent EDGE et je trouve que c’est un très bon navigateur.

Microsoft comblera cette faille rapidement, car leurs ingénieurs ne sont pas des manchots (je n’ai pas écrit pingouin <img data-src=" />).

Merci pour tous les crachats sur Microsoft qui abondent sur ce site : cela prouve que les ados boutonneux y sont très nombreux !! <img data-src=" />


Des failles oui, mais je ne me rappelle pas avoir vu des failles capable de piquer des identifiants et se faire passer pour toi ensuite <img data-src=" />








jeje07bis a écrit :



sauf que microsoft nous a vendu edge comme un truc ultra sécurisé et ultra performant, et presque 2 ans après la sortie de windows 10, ça reste disons pas terrible. En étant gentil.

je ne parle même pas des extensions qui se comptent sur les 10 doigts de la main…





Pour l’utiliser de temps en temps, Edge ne tourne pas si mal que ça.



Pourtant, il est dit dans la news que le même genre de faille a été corrigé sur les autres navigateurs il y a peu…


Ah oui tiens… donc le problème est que Edge est en retard sur le correctif ?



Enfin effectivement je me suis gouré.


Plutôt qu’il a fallu plus de temps pour trouver le problème dans Edge (soit par manque d’intérêt, soit que c’était un peu plus compliquer à trouver).