1 1 1 1 1 Rating 0.00 (0 Votes)

La dernière version du navigateur Internet Explorer de Microsoft contient un bogue qui peut permettre des attaques graves contre la sécurité des sites Web qui sont par ailleurs sains.

La faille dans Internet Explorer 8 peut être exploitée pour introduire XSS, ou du Scripting cross-site, erreurs sur les pages Web qui sont par ailleurs sans danger, selon deux sources du Register, qui ont examiné le bug sur la condition qu'ils ne soient pas identifiés. Microsoft dit avoir été informé de cette vulnérabilité il ya quelques mois.

Ironiquement, la faille réside dans une protection accrue par les développeurs de Microsoft pour IE 8 qui est conçu pour prévenir les attaques XSS contre les sites. Elle fonctionne par la réécriture des pages vulnérables en utilisant une technique connue sous le nom de codage de sortie afin que les caractères nocifs et les valeurs soient remplacés par des variables plus sûres. Un porte-parole de Google a confirmé, il ya une faille «importante» dans les fonctionnalités d’IE 8, mais a refusé de fournir des détails.

La façon dont les protections peuvent causer des vulnérabilités XSS dans les sites Web, qui sont par ailleurs sains, n'est pas claire. Michael Coates - un ingénieur principal de sécurité des applications à Aspect Security qui a étudié de près la fonction, mais n'était pas au courant de la vulnérabilité - spécule qu’il est possible de faire en sorte que IE 8 réécrive les pages de telle sorte que les nouvelles valeurs déclenchent une attaque sur site sain.

"Si l'intrus peut comprendre une faille dans la façon dont IE 8 est en train faire cet encodage de sortie, puis créer une chaîne spécifique l'attaquant sera, nous le savons, transformé en une véritable attaque, ils pourraient l'utiliser pour saisir une valeur ... qui résulterait en une attaque sur la page, dit-il. « Cela pourrait être une manière d'introduire une attaque dans une page qui n'a pas une vulnérabilité autrement. »

Les attaques XSS sont un moyen de manipuler l'URL d'un site afin d'injecter du code malveillant ou contenu dans une page web de confiance. De nombreux observateurs de la sécurité sont venus pour voir les protections d’IE 8 comme étant la réponse de Microsoft a NoScript, une extension populaire qui aide à prévenir les attaques XSS et autres types d'attaques contre les utilisateurs du navigateur Firefox.

Tard le jeudi après-midi, Microsoft dit The Register : "Microsoft étudie de nouvelles créances publiques de vulnérabilité dans Internet Explorer. Nous ne sommes actuellement pas au courant d’attaques tentant d'utiliser la vulnérabilité revendiquée ou de l'impact sur la clientèle."

Une fois son enquête terminée, la société va « prendre les mesures appropriées », y compris l'émission d'un patch ou des conseils sur comment les utilisateurs peuvent se protéger contre les exploits.

Lorsque Microsoft a introduit les mesures de protection, elle a également créé un moyen pour les webmasters de passer outre la fonctionnalité (en ajoutant l'en-tête de réponse "X-XSS-Protection: 0"). Un examen du Top 50 des sites Web les plus visités montre que seules les propriétés Web détenues par Google ont effectivement opté pour le faire. Le petit nombre de sites bloquant la protection remet en question l'ampleur de l’importance de la vulnérabilité.

Lorsque l’on a demandé à Google pourquoi ils ont renoncé à la protection, un porte-parole de la compagnie a écrit dans un courriel :

"Nous sommes conscients d'une faille importante qui affecte le filtre XSS dans IE 8, et nous avons pris des mesures pour aider à protéger nos utilisateurs en désactivant le mécanisme sur nos propriétés jusqu'à ce qu'un correctif soit publié." Il n'en a pas dit plus.

En plus d'introduire de potentiellement graves vulnérabilités dans les pages Web, les protections XSS peuvent apporter d'autres résultats indésirables. C'est parce que son moteur intercepte et traite des caractères système (flag) parfaitement acceptables comme potentiellement dommageables. Un exemple d'un faux positif est ici.

David Ross, ingénieur en chef des logiciels de sécurité pour Microsoft, a dit : « les développeurs doivent concevoir la fonction en visant à trouver un équilibre pragmatique entre la protection des utilisateurs et la sauvegarde de l’’intégrité du web. »

« Nous avions besoin de trouver un moyen de rendre le filtrage automatique et sans douleur et de fournir ainsi un bénéfice maximal aux utilisateurs », écrit-il. "En résumé, le filtre XSS prouvera son utilité en élevant la barre et en atténuant le nombre de types de XSS les plus fréquemment trouvés sur le Web aujourd'hui, par défaut, pour les utilisateurs d'Internet Explorer 8."

Security Focus : http://www.securityfocus.com/news/11565 Traduction : folamour & google

Vous êtes ici : Accueil Arrow Informatique Arrow Sécurité Arrow Faille majeure IE 8 rendant les sites sains à risque