Une nouvelle vulnérabilité découverte au sein d'Internet Explorer (MàJ)



Des chercheurs en sécurité expliquent avoir découvert une nouvelle vulnérabilité au sein du navigateur Internet Explorer.
0050000005018804-photo-ie9-pwnd.jpg

L'équipe de Spider.io, proposant une solution d'analyse publicitaire, explique avoir averti Microsoft au 1er octobre d'une nouvelle vulnérabilité au sein d'Internet Explorer. Celle-ci affecte les version 6 à 10 du navigateur et permet à une personne malintentionnée de suivre le mouvement de la souris d'une victime à l'écran, même lorsqu'IE est minimisé.

Spider.io explique que certains sites Internet sécurisés - tels que ceux des banques - proposent un clavier virtuel pour que les internautes puissent s'authentifier. Cette méthode permet de sécuriser les informations confidentielles de l'utilisateur même si son ordinateur est infecté d'un keylogger mémorisant les frappes de son clavier physique. La vulnérabilité en question rendrait ainsi inutile ce type de mécanisme. Les experts expliquent qu'il est possible d'enregistrer le curseur de la souris d'un internaute en exploitant une simple publicité insérée sur une page web. « N'importe quel site, de YouTube au New York Times, peut de venir un vecteur potentiel d'attaque », est-il ainsi expliqué. Cette faille serait d'ailleurs déjà utilisée par deux sociétés d'analyse publicitaire.

Le centre de sécurité de Microsoft aurait bien pris connaissance du problème mais ne prévoirait pas de publier un patch dans l'immédiat. Spider.io a donc décidé de rendre cette vulnérabilité publique en proposant un site de démonstration. Voici ci-dessous une vidéo illustrant le problème :



Mise à jour :
Dans un billet publié sur le blog d'Internet Explorer, le vice-président du produit Dean Hachamovitch explique que Microsoft a bien pris connaissance du problème et planche actuellement sur une solution. L'éditeur de Redmond précise par ailleurs que si un hacker peut voir où se trouve la souris, il ne peut en revanche prendre connaissance du contenu de la page et donc des caractères d'un clavier virtuel. « Nous ne pensons pas qu'il y a des risques majeurs pour le consommateur à ce stade », explique M. Hachamovitch en précisant qu'il n'y a eu aucun retour d'internaute ayant vu ses données personnelles compromises.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Acer V360 : un nouveau smartphone propulsé par Jelly Bean
Yahoo! lorgnerait sur la jeune pousse Summly
SVoD : Dailymotion lance Kids+, une chaîne pour les enfants
Google modifie ses pubs mobiles pour limiter les clics accidentels
La redevance TV passera de 125 à 131 euros en 2013
Les jeux PEGI 18 disponibles sur le Windows Store européen
Kingston Wi-Drive : 128 Go d'espace de stockage flash pour votre smartphone
SkyDrive a deux fois plus d'utilisateurs que Dropbox et remplacera LiveMesh
Facebook pour Android : une application native nettement plus réactive
Lightroom 4.3 et Camera Raw 7.3 : complément de la Photokina et écrans Retina
Haut de page