Numéro : AV19-077
Date : 11 avril 2019
Une preuve de concept a été diffusée concernant une vulnérabilité qui permet au JavaScript intégré à une page Web malveillante de recueillir de l’information sur d’autres pages Web que l’utilisateur a consultés. Microsoft n’offre pas de correctif pour cette vulnérabilité.
Un site Web malveillant ouvert dans Internet Explorer ou Edge peut exploiter cette vulnérabilité en vue de recueillir des renseignements potentiellement sensibles provenant de sites Web consultés par l’utilisateur ciblé. L’auteur malveillant doit convaincre la victime de visiter un site Web malveillant pendant que le navigateur Web de l’utilisateur ciblé contient une session ouverte dans d’autres sites Web. L’information vulnérable pouvant être conservée dans l’adresse URL peut comprendre des témoins, des ID de session, des noms d’utilisateur, des mots de passe et des jetons OAUTH, en texte en clair ou en format de hachage. Ce type de divulgation d’information ne s’applique pas à la plupart des sites Web qui sont configurés adéquatement, puisque ceux-ci ne conservent pas de justificatifs d’identité dans un témoin temporaire ou dans une adresse URL.
Microsoft a émis la déclaration suivante en réponse aux demandes de l’industrie :
« Le problème décrit ne répond pas à nos critères de correction, puisque l’attaquant doit convaincre une victime de consulter un site Web malveillant. Nous encourageons nos clients à adopter de bonnes pratiques en ligne en faisant preuve de prudence lorsqu’ils cliquent sur des liens menant à des pages Web, ouvrent des fichiers inconnus ou acceptent des transferts de fichier. » [traduction libre]
Microsoft a également recommandé aux utilisateurs inquiets de consulter ses ressources sur la sécurité en ligne.
https://www.microsoft.com/en-us/digital-skills/online-safety-resources (en anglais)
Note aux lecteurs
Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.