Des chercheurs de Talos, la filiale sécurité de Cisco, ont découvert une vulnérabilité critique affectant Edge, le navigateur Internet de Microsoft dédié à Windows 10.
Mais, plus de 8 mois après la transmission des informations ad hoc, la brèche de sécurité relative au browser n’est pas colmatée.
Pourtant, « une page Web spécialement conçue peut entraîner un contournement du système de sécurité du contenu (Content Security Policy ou CSP, NDLR), avec pour résultat une fuite d’information », avance Nicolai Grødum, Technical Leader chez Cisco dans son alerte.
Le mécanisme CSP permet au développeur de configurer les entêtes HTTP et informer le navigateur exploité par les visiteurs des ressources dont ils peuvent bénéficier (Javascript, CSS…).
En contournant ces CSP, un attaquant peut donc charger un code Javascript malicieux sur un site distant et effectuer des opérations intrusives telles que la collecte d’informations à partir des cookies des utilisateurs ou l’enregistrement des frappes dans les formulaires de la page.
Le problème vient du chargement de la page « # » (une page vierge) dont les restrictions en matière de règles de protection des contenus ont été levées dans la navigateur Edge. « En chargeant un nouveau document à l’aide de window.open (« », « _ blank ») et avec document.write-in (#) un attaquant peut contourner les restrictions CSP sur le document et le code Javascript de la page d’origine et rejoindre d’autres sites, souligne le chercheur qui ajoute que un attaquant peut créer une page Web malveillante pour déclencher cette vulnérabilité. »
La vulnérabilité est absente de Firefox, précise Nicolai Grødum. Et elle a été corrigée pour Safari et Chrome. La faille y était référencée CVE-2017-2419 et CVE-2017-2419 respectivement.
Selon NetMarketShare, Edge composait 5,66% du marché des navigateurs en août dernier. Autrement dit, des millions d’utilisateurs dans le monde naviguent à risque.
On ignore en l’état actuel pourquoi Microsoft s’abstient de colmater cette brèche sur son propre navigateur.
Lire également
Navigateurs Web : les meilleurs sur PC et sur mobile
Patch Tuesday : un été chargé en vulnérabilités critiques
Edge, invité d’honneur de la dernière Build de Windows 10
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…