Internet Explorer 8 : une protection qui génère des failles

Le par  |  3 commentaire(s)
IE_logo

Le filtre de protection contre les attaques de type XSS présent dans Internet Explorer 8 contient des vulnérabilités qui rendent les sites sûrs... non sûrs.

IE_logoNotamment connu pour avoir développé la célèbre extension NoScript pour Firefox, Giorgio Maone souligne l'ironie de la situation qui doit sans doute faire rire jaune Microsoft. Avec la dernière version de son navigateur Web, Microsoft a introduit une nouvelle couche de protection. Le filtre Cross Site Scripting ou filtre de script intersites a pour mission d'ériger un rempart contre les attaques autrement qualifiées XSS.

Selon les explications de Microsoft, le filtre XSS d'Internet Explorer 8 peut empêcher un site Web d'ajouter un script à un autre site. Typiquement, via des paramètres dans une URL, un message publié sur un forum, des données arbitraires sont ajoutées à une page Web traitée par le navigateur. Si ces paramètres ne sont pas vérifiés, il y a une faille XSS. Les attaques liées ont pour but la divulgation de données confidentielles, le piratage de cookie lors d'une navigation.

Le filtre XSS d'IE8 surveille les interactions entre les sites, et le cas échéant bloque l'exécution d'un code script lorsqu'une attaque potentielle est détectée. Dans la pratique, cela se manifeste par l'affichage d'un message dans la barre  d'informations : " Internet Explorer a modifié cette page pour empêcher le script de site à site ".

Là où le bât blesse est que ce filtre XSS d'IE8 peut être exploité pour mener des attaques XSS à l'encontre de sites qui à l'origine n'étaient pas vulnérables. C'est ce que pointe du doigt Giorgio Maone, tout en soulignant que ce problème est connu de longue date par les chercheurs en sécurité informatique et que Microsoft a déjà été prévenu. Heureusement, pas de full disclosure pour l'heure mais Microsoft serait bien inspiré de mener une action correctrice maintenant que la mèche a été - partiellement - vendue.

Un porte-parole de Google a confirmé à The Register l'existence d'une importante faille dans une fonctionnalité d'IE8, se gardant bien lui aussi d'en dire plus. Reste que dans l'attente d'un correctif, Google a déjà pris des mesures en mettant en place pour ses sites une mesure de contournement qui permet de bloquer la protection du filtre XSS d'IE8. L'ajout d'un en-tête de réponse " X-XSS-Protection: 0 " comme préconisé par Microsoft.

À part l'introduction de vulnérabilités, le filtre XSS d'IE8 a également quelques effets gênants avec des faux positifs.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #552021
Correction : "Dans la pratique, cela SE manifeste"...
Le #553021
Tiens, c'est marrant, on entend pas oldjohn sur ce genre de news... En manque d'inspiration, sûrement
Le #553801
Aussi peu de réactions sur cette info m'étonne.
C'est sur qu'une grande partie d'entre nous utilise d'autres navigateurs que IE8.

Mais, tout de même, ne sommes nous pas nombreux à aussi gérer et/ou développer des sites ?
Et donc à devoir se préoccuper des clients IE (et même et encore de IE6 )

Le post de Giorgio Maone : http://hackademix.net/2009/11/21/ies-xss-filter-creates-xss-vulnerabilities/ (21/11/2009)
et sa traduction :
--
Le fameux filtre XSS d'Internet Explorer 8 peut être exploité pour exécuter avec succès les attaques XSS contre les sites Web qui autrement seraient en toute sécurité. En d'autres termes, XSS "protection" aide les attaquants XSS, ô ironie.

Eh bien, ce n'est pas exactement une nouvelle parmi les chercheurs en sécurité au courant des détails (y compris bien sûr ceux de Microsoft, Eduardo "Sirdarckcat" Vela et moi-même) lesquels ont gardé un profil bas jusqu'à présent. Vérifiez, par exemple, diapositive n ° 17 dans ma présentation OWASP (lien alternatif), tenue il y a deux semaines.

Toutefois, Microsoft n'ayant pas fixé cette faille pendant plusieurs mois, quelqu'un a apparemment décidé de chuchoter ce petit secret l 'oreille de Dan Goodin (The Register)

Au crédit de Microsoft, ce problème n'a pas de solution miracle: en fait, c'est pire que la façon d'un bug de mise en œuvre simple. Sa racine est un choix de conception erronée: quand une attaque XSS potentielle est détectée, IE 8 modifie la réponse (le contenu de la page cible) afin de neutraliser le code malveillant. Ceci est d'ailleurs le seul emprunt significatif de l'approche de NoScript, qui modifie la demande (les données envoyées par le client) à la place, et est donc immunisé.

Quoi qu'il en soit, voici le jus: IE 8 La réponse du mécanisme de changement peut être facilement exploités à son tour en un fragment normalement inoffensif de la page victime vers une injection XSS. L'attaquant a juste besoin d'un certain degré de contrôle sur le contenu du site Web destiné à être injecté: les réseaux sociaux, forums, wikis et même Google Apps sont des proies toutes désignées. Pour être juste, Google Apps n'est plus vulnérables, puisque les propriétés de Google ont judicieusement choisi de déployer les X-XSS-Protection: 0-tête, qui sont l'interrupteur de sécurité "désactiver IE 8's XSS protection".

Ainsi, le dilemme propriétaires de sites Web "est, opt out ou non ?

Pour les utilisateurs du navigateur, il ne devrait y avoir aucun dilemme du tout
;-)
--
(pour les liens mentionnés dans ma traduction, allez sur le post de Giorgio Maone.)
(rappel pour ceux qui lisent en diagonale: le "je" dans la traduction, c'est Giorgio, pas moi.)
A quand une vraie transparance sur le bugs de MS ? Pourquoi faut-il attendre des "fuites" ?
Il y a définitivement une meilleure transparence sur les failles de Firefox et une meilleure réactivité pour leurs corrections.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]