Deux vulnérabilités de type "jour-zéro" découvertes sur Internet Explorer et Microsoft Edge

James Lee, chercheur en sécurité, a publié des preuves de faisabilité de deux vulnérabilités de type « jour zéro » qui affectent les dernières versions des navigateurs Web Internet Explorer et Microsoft Edge. Ces vulnérabilités sont considérées comme critiques. Un attaquant peut les exploiter afin de contourner la politique de même origine (Same-Origin Policy - SOP) sur le navigateur Web de la victime et exécuter des attaques de type Universal Cross-Site Scripting (UXSS).

La politique de même origine est une fonction de sécurité implémentée dans les navigateurs modernes qui isole les différents documents en fonction de leur origine et, en théorie, il n'est pas possible d'accéder à un contenu d'une origine A depuis l'origine B. 

Le chercheur James Lee a divulgué ses preuves de faisabilité après avoir fait part de ses conclusions à l'entreprise il y a dix mois et sans retour de leur part.

Détails techniques

CVE-2018-8351 [CVSS v3 6.5] et CVE-2018-8545 [CVSS v3 4.3] : Ces vulnérabilités sont particulièrement critiques dans la mesure où elles permettent à un site Web malveillant d'exécuter des attaques UXSS contre tout domaine visité en utilisant les navigateurs Web vulnérables de Microsoft.

En amenant la victime à visiter un site Web malveillant qu'il a créé, l'attaquant peut éventuellement compromettre les données sensibles de la victime, comme les sessions de connexion et les cookies d'autres sites visités sur le même navigateur.

Dans un mail à "The Hacker News", le chercheur indique que le problème se situe dans les entrées de synchronisation des ressources dans les navigateurs Microsoft qui laissent échapper de manière inappropriée des URLs d'origine croisée après redirection.

Puisque les détails et les preuves de faisabilité de ces deux vulnérabilités ont déjà été rendus publics, il ne faudra pas longtemps avant que les attaquants exploitent les failles et tentent de cibler les utilisateurs de Microsoft.