David Leo, de la société britannique Deusen, a découvert une nouvelle vulnérabilité sur Internet Explorer.
Une nouvelle faille dans le code d’Internet Explorer a été découverte par David Leo, un chercheur en sécurité de la société Deusen. La faille a été découverte dans les versions Internet Explorer 10 et 11, ainsi que dans la nouvelle version beta de Spartan sur la version Technical Preview du prochain Windows 10. Cette faille permet de détourner le contrôle fait par la Same-Origin Policy, une technologie qui gère et restreint les scripts en fonction de leur provenance. L’expert souligne que même les sites qui utilisent une connexion HTTPS ne sont pas épargnés. Pour ne pas arranger les choses, il n’existe à l’heure actuelle aucun correctif pour cette vulnérabilité.
Avec cette brèche, le hacker peut créer un faux formulaire de connexion ouvert depuis une page classique, récupérer des informations personnelles depuis les cookies du navigateur, ou encore voler toutes les informations provenant d’un site bancaire. Pour montrer la gravité de cette faille, David Leo a fait la démonstration sur le site Dailymail.
La faille, qui a été signalée à Microsoft dans le courant du mois d’octobre, n’a pour le moment pas été corrigée. Le géant de Redmond a indiqué ne pas observer une exploitation massive de cette faille, et le correctif devrait seulement arriver lors du prochain Patch Tuesday.