Risque
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Microsoft Edge
- Microsoft Internet Explorer
Résumé
Le 30 mars 2019, le site thehackernews.com a publié un billet dans lequel un chercheur en sécurité annonce avoir trouvé deux vulnérabilités de type 0 jour dans Microsoft Edge et Internet Explorer.
Ces vulnérabilités permettent de contourner la fonctionnalité de sécurité Same Origin Policy (SOP). Cette fonctionnalité empêche un script d’interagir avec des ressources chargées depuis une source différente, ceci dans le but de limiter les informations qu'un site peut obtenir du navigateur de l'utilisateur.
Ici, si un utilisateur se rend sur un site malveillant ou un site légitime compromis, l'attaquant pourrait être en mesure de récupérer des informations et secrets de navigation, tels que l'historique ou des cookies de connexion.
Contournement provisoire
Le CERT-FR n'a pas encore analysé ces vulnérabilités mais recommande cependant de faire preuve de prudence lors de la navigation sur internet ainsi que le respect des bonnes pratiques.
Dans l'attente d'un correctif de la part de Microsoft, le CERT-FR recommande également de privilégier l'utilisation de navigateurs non touchés par cette vulnérabilité, par exemple Chrome ou Firefox.