Une vulnérabilité dans Internet Explorer met les informations d'identification de l'utilisateur en danger, Microsoft s'efforce de la corriger
2 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Une nouvelle vulnérabilité dans Internet Explorer a été révélée aujourd'hui. Cette vulnérabilité est applicable à toutes les dernières versions d'IE et permet à quiconque d'accéder aux identifiants de connexion de l'utilisateur. Il s'agit d'un bogue de script intersite universel (XSS) et d'un exploit de preuve de concept vient d'être publié sur le web.
Pour démontrer l'attaque, le contenu de dailymail.co.uk a été modifié par domaine externe.
Une fois en possession du cookie, un attaquant pourrait accéder aux mêmes zones restreintes normalement accessibles uniquement à la victime, y compris celles contenant des données de carte de crédit, des historiques de navigation et d'autres données confidentielles. Les hameçonneurs pourraient également exploiter le bogue pour inciter les gens à divulguer les mots de passe des sites sensibles.
Microsoft est au courant de ce bogue et travaille déjà sur un correctif.
Nous ne sommes pas au courant que cette vulnérabilité soit activement exploitée et travaillons sur une mise à jour de sécurité. Pour exploiter cela, un adversaire devrait d'abord attirer l'utilisateur vers un site Web malveillant, souvent par hameçonnage. SmartScreen, qui est activé par défaut dans les nouvelles versions d'Internet Explorer, aide à protéger contre les sites Web de phishing. Nous continuons d'encourager les clients à éviter d'ouvrir des liens provenant de sources non fiables et de visiter des sites non fiables, et à se déconnecter lorsqu'ils quittent des sites pour protéger leurs informations.
via: Ars Technica
