CERTFR-2019-ALE-004

Vulnerability from certfr_alerte - Published: - Updated:

Le 30 mars 2019, le site thehackernews.com a publié un billet dans lequel un chercheur en sécurité annonce avoir trouvé deux vulnérabilités de type 0 jour dans Microsoft Edge et Internet Explorer.

Ces vulnérabilités permettent de contourner la fonctionnalité de sécurité Same Origin Policy (SOP). Cette fonctionnalité empêche un script d’interagir avec des ressources chargées depuis une source différente, ceci dans le but de limiter les informations qu'un site peut obtenir du navigateur de l'utilisateur.

Ici, si un utilisateur se rend sur un site malveillant ou un site légitime compromis, l'attaquant pourrait être en mesure de récupérer des informations et secrets de navigation, tels que l'historique ou des cookies de connexion.

Contournement provisoire

Le CERT-FR n'a pas encore analysé ces vulnérabilités mais recommande cependant de faire preuve de prudence lors de la navigation sur internet ainsi que le respect des bonnes pratiques.

Dans l'attente d'un correctif de la part de Microsoft, le CERT-FR recommande également de privilégier l'utilisation de navigateurs non touchés par cette vulnérabilité, par exemple Chrome ou Firefox.

None
Impacted products
Vendor Product Description
Microsoft Edge Microsoft Internet Explorer
Microsoft Edge Microsoft Edge
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Internet Explorer",
      "product": {
        "name": "Edge",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Edge",
      "product": {
        "name": "Edge",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2019-04-17",
  "content": "## Contournement provisoire\n\nLe CERT-FR n\u0027a pas encore analys\u00e9 ces vuln\u00e9rabilit\u00e9s mais recommande\ncependant de faire preuve de prudence lors de la navigation sur internet\nainsi que le respect des bonnes pratiques.\n\nDans l\u0027attente d\u0027un correctif de la part de Microsoft, le CERT-FR\nrecommande \u00e9galement de privil\u00e9gier l\u0027utilisation de navigateurs non\ntouch\u00e9s par cette vuln\u00e9rabilit\u00e9, par exemple Chrome ou Firefox.\n",
  "cves": [],
  "links": [],
  "reference": "CERTFR-2019-ALE-004",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2019-04-01T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte.",
      "revision_date": "2019-04-17T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Injection de code indirecte \u00e0 distance (XSS)"
    }
  ],
  "summary": "Le 30 mars 2019, le\nsite\u00a0[thehackernews.com](https://thehackernews.com/2019/03/microsoft-edge-ie-zero-days.html)\u00a0a\npubli\u00e9 un billet dans lequel un chercheur en s\u00e9curit\u00e9 annonce avoir\ntrouv\u00e9 deux vuln\u00e9rabilit\u00e9s de type 0 jour dans Microsoft Edge et\nInternet Explorer.\n\nCes vuln\u00e9rabilit\u00e9s permettent de contourner la fonctionnalit\u00e9 de\ns\u00e9curit\u00e9\u00a0*Same Origin Policy* (SOP). Cette fonctionnalit\u00e9 emp\u00eache un\nscript d\u2019interagir avec des ressources charg\u00e9es depuis une source\ndiff\u00e9rente, ceci dans le but de limiter les informations qu\u0027un site peut\nobtenir du navigateur de l\u0027utilisateur.\n\nIci, si un utilisateur se rend sur un site malveillant ou un site\nl\u00e9gitime compromis, l\u0027attaquant pourrait \u00eatre en mesure de r\u00e9cup\u00e9rer des\ninformations et secrets de navigation, tels que l\u0027historique ou des\ncookies de connexion.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Edge et Internet Explorer",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.