{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Internet Explorer","product":{"name":"Edge","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Edge","product":{"name":"Edge","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2019-04-17","content":"## Contournement provisoire\n\nLe CERT-FR n'a pas encore analys\u00e9 ces vuln\u00e9rabilit\u00e9s mais recommande\ncependant de faire preuve de prudence lors de la navigation sur internet\nainsi que le respect des bonnes pratiques.\n\nDans l'attente d'un correctif de la part de Microsoft, le CERT-FR\nrecommande \u00e9galement de privil\u00e9gier l'utilisation de navigateurs non\ntouch\u00e9s par cette vuln\u00e9rabilit\u00e9, par exemple Chrome ou Firefox.\n","cves":[],"links":[],"reference":"CERTFR-2019-ALE-004","revisions":[{"description":"Version initiale","revision_date":"2019-04-01T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte.","revision_date":"2019-04-17T00:00:00.000000"}],"risks":[{"description":"Injection de code indirecte \u00e0 distance (XSS)"}],"summary":"Le 30 mars 2019, le\nsite\u00a0[thehackernews.com](https://thehackernews.com/2019/03/microsoft-edge-ie-zero-days.html)\u00a0a\npubli\u00e9 un billet dans lequel un chercheur en s\u00e9curit\u00e9 annonce avoir\ntrouv\u00e9 deux vuln\u00e9rabilit\u00e9s de type 0 jour dans Microsoft Edge et\nInternet Explorer.\n\nCes vuln\u00e9rabilit\u00e9s permettent de contourner la fonctionnalit\u00e9 de\ns\u00e9curit\u00e9\u00a0*Same Origin Policy* (SOP). Cette fonctionnalit\u00e9 emp\u00eache un\nscript d\u2019interagir avec des ressources charg\u00e9es depuis une source\ndiff\u00e9rente, ceci dans le but de limiter les informations qu'un site peut\nobtenir du navigateur de l'utilisateur.\n\nIci, si un utilisateur se rend sur un site malveillant ou un site\nl\u00e9gitime compromis, l'attaquant pourrait \u00eatre en mesure de r\u00e9cup\u00e9rer des\ninformations et secrets de navigation, tels que l'historique ou des\ncookies de connexion.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Edge et Internet Explorer","vendor_advisories":[]}