Un expert en sécurité vient de dévoiler une faille de sécurité sévère qui touche Internet Explorer 11, une vulnérabilité qui permet de dérober l’ensemble des informations d’un domaine piraté.
David Leo, expert en sécurité pour la société Deusen, vient de publier le proof of concept de l’exploitation d’une importante faille de sécurité dans Internet Explorer 11. Il a découvert une vulnérabilité qui permet de bypasser « Same-Origin-Policy », une fonctionnalité importante d’IE qui permet de théoriquement éviter les injections de scripts pour l’exécution de code malicieux.
La faille découverte permet également de bypasser les restrictions http vers https et d’autres éléments sensés assurer la sécurité des pages visitées sous IE.
Comme le prouve le proof of concept publié par David Leo, cette faille permet d’exécuter un script à distance et d’injecter le code dans un site web, ce qui permet de modifier le contenu d’un site piraté, mais aussi de voler les cookies d’authentification ou les détails de connexion, ce qui ouvre la porte au vol de l’ensemble du contenu du site. La faille en question serait selon lui liée à l’Cross-site scripting.
Microsoft indique être en train de travailler sur un correctif et souligne ne pas être au courant d’une exploitation active de cette faille. Cela signifie que ce patch pourrait bien faire partie des correctifs qui seront publiés lors du prochain Patch Tuesday, la semaine prochaine.
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.