Internet Explorer 11 affecté par une faille critique
Qui rendrait les sites Web « vulnérables aux attaques XSS »

Le , par Amine Horseman

61PARTAGES

0  0 
Une nouvelle faille de sécurité vient d’être découverte dans Internet Explorer 11. Celle-ci serait assez inquiétante, puisqu’elle permettrait de contourner une des techniques de sécurité les plus utilisées par les navigateurs web, connue sous le nom de : Same-Origin Policy.

Le Same-Origin Policy a pour but d’isoler les scripts d’une page web de façon à ce qu’ils ne puissent pas accéder au contenu d’une autre page web n’ayant pas la même origine. C’est ce qui empêche, par exemple, un site d’accéder aux cookies et aux informations de session d’un autre site ouvert sur le même navigateur.

David Leo, le chercheur qui avait découvert cette faille, avait publié le samedi dernier sur SecureLists une démonstration de l’attaque où il utilise le site dailymail.co.uk comme cible pour y injecter le contenu d’un autre site tout en faisant croire à Internet Explorer qu’il s’agit d’un contenu interne. Du coup, le navigateur continue à indiquer dailymail.co.uk dans la barre d’adresse en trompant l’utilisateur. Le hacker pourrait donc insérer des scripts de phishing très crédibles pour récupérer le mot de passe de l’internaute ou son numéro de carte bancaire par exemple.

Plus inquiétant encore, un ingénieur en sécurité chez Tumblr du nom de Joey Fowler publie un autre post sur SecureLists où il déclare que l'attaque fonctionne également si le site ciblé utilise le protocole HTTPS (censé être plus sécurisé que le protocole HTTP). Au fait, selon les tests qu’il aurait effectués, cette faille d’Internet Explorer rend tous les sites vulnérables aux attaques XSS, sauf ceux qui utilisent l’en-tête X-Frame-Options avec les valeurs « Deny » ou « Same-Origin ».

Source : SecureLists

Et vous ?

Utilisez-vous Internet Explorer 11 ?

Que pensez-vous de cette faille ? Et comment s’en protéger ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de JayGr
Membre actif https://www.developpez.com
Le 04/02/2015 à 11:45
Citation Envoyé par Amine Horseman Voir le message

Et vous ?

Utilisez-vous Internet Explorer 11 ?
Que pensez-vous de cette faille ? Et comment s’en protéger ?
Je ne vais pas me faire que des amis je le sent...

Mais je n'utilise plus internet explorer depuis que les modems 56k ne sont plus en vente. Non plus sérieusement Internet Explorer est une passoire... Tout le monde sait ça. C'est lent c'est moche (j'y reviens à la fin de mon message).

Et toutes les personnes (particuliers, amis, famille etc...) chez qui j'interviens (aide, dépannage...) passe à Chrome ou Firefox après mon passage (toutes façon Chrome ou Firefox même combat...).

Internet Explorer est mort-né, version 11 ou autre.
Les entreprises sont malheureusement soumises à de nombreuses obligations et on se retrouve tous à devoir télécharger un firefox/chrome/opéra portable pour naviguer au taf.

Point positif (parce que casser les jambes de Microsoft c'est bien mais bon...). Je suis curieux et je trouve que les toutes dernières versions sont plus ergonomiques.

Comme vous l'aurez compris, cette faille ne me surprend pas et je ne suis pas un fervent défenseur du navigateur...

@+
3  0 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 04/02/2015 à 21:44
Citation Envoyé par eldran64 Voir le message
De plus, avec Spartan, ils devraient aussi se libérer de vieilles casseroles...
Ou pas, s'ils font comme le RPR qui devient UMP et en accumule encore plus
2  0 
Avatar de lahdeb
Membre du Club https://www.developpez.com
Le 04/02/2015 à 15:14
IE = lenteur + bcp de plantations , la seule utilité était de l'utiliser pour installer chrome ou firefox, je pense pas que la version 11 aura quelque chose de particulier, pour les failles de sécurité c'est normale de les trouver par tout (mêmes firefox et chrome avaient plusieurs failles de sécurité), ce qui compte ce sont les mesures à prendre pour les corriger, et la 'souplesse' du navigateur face aux demandes et besoins des utilisateurs,!
1  0 
Avatar de Aldanien
Candidat au Club https://www.developpez.com
Le 04/02/2015 à 23:04
Franchement je voie pas l’intérêt d'utiliser IE de nos jours, et comme dit la blague :
à quoi sert IE ?
à télécharger un autre navigateur comme Firefox
1  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 04/02/2015 à 14:57
Effectivement IE reste aussi selon moi une passoire à failles. Après il faut relativiser... Il fut un temps où l'on disait que windows XP était truffé de failles, mais il ne faut pas oublier que c'était l'OS le plus présent sur le marché... Les hackers avaient dont tout intérêt à trouver une faille sur XP plutôt que Linux car les utilisateurs étaient plus nombreux.

Ici, c'est pareil...
0  0 
Avatar de eldran64
Membre éclairé https://www.developpez.com
Le 04/02/2015 à 15:49
Citation Envoyé par lahdeb Voir le message
IE = lenteur + bcp de plantations...
Je suppose que tu voulais dire "plantages"

Plus sérieusement, IE est peut être une passoire, peut être également le moins respectueux des standards du web. Mais aujourd'hui, je met au défis l'utilisateur lambda de montrer qu'il est moins bien qu'un autre navigateur. Depuis IE6, 'crosoft a fait pas mal d'améliorations sur son navigateur. De plus, avec Spartan, ils devraient aussi se libérer de vieilles casseroles...
0  0 
Avatar de yahiko
Rédacteur/Modérateur https://www.developpez.com
Le 04/02/2015 à 18:31
Heureusement que Safari d'Apple va nous sauver tous... ou pas
0  0 
Avatar de clementmarcotte
Expert éminent https://www.developpez.com
Le 04/02/2015 à 22:05
Citation Envoyé par Amine Horseman Voir le message
Internet Explorer 11 affecté par une faille critique
Qui rendrait les sites Web « vulnérables aux attaques XSS »

Que pensez-vous de cette faille ? Et comment s’en protéger ?
Le Patch Tuesday est dans même pas une semaine. On va voir s'ils ont fait quelque chose avec ça.
0  0 
Avatar de lpa
Membre du Club https://www.developpez.com
Le 05/02/2015 à 9:01
Je ne comprend pas bien comment le navigateur peut ouvrir des failles de sécurité sur un site internet ?
Le problème ne viendrait pas plutôt du protocole http ?
0  0 
Avatar de adiGuba
Expert éminent sénior https://www.developpez.com
Le 05/02/2015 à 10:20
Citation Envoyé par lpa Voir le message
Je ne comprend pas bien comment le navigateur peut ouvrir des failles de sécurité sur un site internet ?
Le problème ne viendrait pas plutôt du protocole http ?
Si cela venait du protocole HTTP alors tous les navigateurs seraient concerné.

Là le problème vient du fait qu'une faille permet à un site de modifier le contenu d'un autre site, ce qui est normalement impossible.

a++
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web