microsoft

Nouveau 0-days dans les navigateurs Microsoft

Un chercheur en sécurité a divulgué des détails et des exploits proof-of-concept de deux vulnérabilités zero-day dans les navigateurs de Microsoft après que le géant américain n’ait pas réagi alors qu’ils avaient été alerté.

L’une de ses vulnérabilités affecte la dernière version de Internet Explorer et l’autre affecte le navigateur Edge, elles permettent à un individu de contourner la politique same-origin du navigateur web.

Same Origin Policy (SOP) est une méthode de contrôle utilisée par les navigateurs web pour pallier certains problèmes de sécurité. On entend par origine la combinaison d’un protocole, un hôte et d’un numéro de port. Le navigateur isole les différents documents en fonction de leur origine et, en théorie, il n’est pas possible d’accéder à un contenu d’une origine A depuis l’origine B.

Il n’existe pas une politique de même origine mais plusieurs solutions différentes qui se combinent pour répondre à ce besoin et sont implémentées par les navigateurs modernes

En d’autres mots, si vous visitez un site internet avec votre navigateur web, le site peut seulement accéder à des données venant de la même source [du même domaine]. Cela empêche donc à un site de voler les données que vous partagez avec un autre site.

Cependant les vulnérabilités découvertes par le chercheur en sécurité, James Lee, permet à un site malveillant d’utiliser une attaque universal cross-site scripting (UXSS) sur les domaines visités en utilisant les navigateurs web vulnérables de Microsoft.

Pour exploiter ces vulnérabilités, il faut juste convaincre la victime d’ouvrir le site malveillant.

« Le problème est dans le Resource Timing Entries des navigateurs Microsoft qui donne accès aux URLs Cross-Origin (venant de différentes sources) après redirection, » a expliqué Lee.

Le chercheur a contacté Microsoft et a partagé ses trouvailles avec l’entreprise, c’était il y’a 10 mois. Le géant américain a ignoré ces problèmes et ne lui a pas répondu.

Lee a donc partagé des exploits proof-of-concept (PoCs) pour les deux failles.

Ces nouvelles vulnérabilités sont similaires à celles patchées par Microsoft l’année dernière dans Internet Explorer (CVE-2018-8351) et les navigateurs Edge (CVE-2018-8545).

Vu que les détails et les Proof-of-Concepts sont maintenant disponibles pour tout le monde, ce n’est qu’une histoire de temps avant que les cybercriminels n’utilisent ces failles de sécurité.

Pour éviter d’être la victime de ces vulnérabilités vous pouvez utiliser des navigateurs qui ne sont pas affectés, comme Chrome ou Firefox.

Laisser un commentaire