La vulnérabilité de Microsoft Edge
Les navigateurs sont dotés d'une fonction de sécurité appelée Same Origin Policy (SOP), qui permet uniquement aux scripts de la première page Web qu'un utilisateur consulte d'accéder aux données de la page Web suivante si les deux pages Web ont le même protocole, hôte et port. Bref, les SOP d'Edge échouent lorsqu'un utilisateur télécharge un fichier HTML malveillant.
Lorsque l'utilisateur télécharge ce fichier HTML et l'exécute sur son système, les pirates peuvent accéder à n'importe lequel des fichiers liés au système d'exploitation de cet utilisateur. Cette vulnérabilité a été découverte par le chercheur en sécurité Ziyahan Albeniz, qui montre dans cette vidéo sa preuve de concept pour cette attaque.
Portée des attaques par courriel
Les courriels sont une source courante d'attaques de hameçonnage, envoyés à des cibles spécifiques avec des pièces jointes qui contiennent des des éléments malveillants. Bien que les fichiers DOC, PDF, XLS et ZIP aient d'abord été utilisés pour les attaques de pièces jointes par courrier électronique, les fichiers HTML constituent le nouveau moyen pour les pirates de pirater les ordinateurs. L'utilisation d'un code malveillant intégré dans un fichier HTML - qui est la méthode la plus récente et donc la moins suspecte - donne un avantage aux pirates.
Comment éviter cette brèche dans Microsoft Edge
L'application des correctifs Microsoft déjà publiés pour Edge, Mail et Calendar aidera les utilisateurs à éviter cette brèche. Selon Albeniz, la meilleure façon d'éviter ce genre de menaces est de ne jamais télécharger de pièces jointes d'expéditeurs inconnus.
Si le déploiement de correctifs sur des machines distantes semble décourageant, Patch Manager Plus peut vous aider à automatiser l'ensemble du processus de gestion des correctifs, de l'identification des correctifs manquants à leur déploiement sur des machines distantes.
Téléchargez la version d'évaluation de Patch Manager Plus pour corriger la vulnérabilité Microsoft Edge maintenant.
Giridhara Raam, Product Marketer chez ManageEngine