Rafay Baloch, un jeune chercheur indépendant en cybersécurité, a découvert une vulnérabilité de sécurité (CVE-2018-8383) qui affecte aussi bien Microsoft Edge qu’Apple Safari.

Il prouve que dans certaines conditions, il est possible pour un attaquant de charger une page web légitime, ce qui affiche son URL dans la barre d’adresse, puis de rapidement lancer du code arbitraire, qui pourrait être malicieux, sans que l’URL affichée ne change.

C’est possible parce que les deux navigateurs autorisent le code à mettre à jour le navigateur pendant qu’une page web est en train d’être chargée.

L’utilisateur se croit donc en sécurité alors qu’il ne l’est pas. Une exploitation typique serait la création de faux écrans de connexion ou d’autres formulaires afin de récolter les noms d’utilisateurs, les mots de passe et les autres informations confidentielles.

Selon la convention tacite du secteur, Baloch a attendu 90 jours avant de dévoiler la vulnérabilité au public.

Dans l’intervalle, Microsoft a publié un correctif de sécurité.

Étonnamment, ce n’est pas le cas d’Apple, qui n’a d’ailleurs toujours pas indiqué quand et si un correctif de sécurité serait disponible.

 

Preuve de concept Edge

 

Preuve de concept Safari