La vulnérabilité liée à Universal Cross-site scripting permet d’exécuter un script à distance et d’injecter le code dans un site web. Microsoft indique travailler sur un correctif.
Cela faisait longtemps : Internet Explorer est nouveau victime d’un trou béant de sécurité. La faille zero-day révélée est en effet plutôt inquiétante. Selon David Leo, expert chez Deusen, la vulnérabilité présente dans IE 11 sous Windows 7, 8 et 8.1 permet de détourner l’ensemble des informations sur un domaine piraté et également d’injecter n’importe quelle information dans ledit domaine.Selon nos confrères de Magsecurs, la vulnérabilité liée à Universal Cross-site scripting permet de contourner l’une des fonctions clés d’IE, « Same-Origin-Policy » laquelle permet d’éviter les injections de scripts pour l’exécution de code malicieux. La faille permet également de bypasser les restrictions http-vers-https et d’autres éléments sensés assurer la sécurité des pages visitées sous IE. Résultat, il est possible de piéger des sites sans que l’url soit modifiée (même en HTTPS), pour détourner des données personnelles des internautes.
Pire, le hacker a publié une « proof of concept » démontrant une attaque contre le site du DailyMail qui a effectivement été modifié.
Alerté en octobre, Microsoft indique ne pas observer une exploitation active de cette faille et planche sur un correctif qui pourrait être livré la semaine prochaine, lors du Patch Tuesday. En attendant, autant éviter ce butineur.