IE_logo Notamment connu pour avoir développé la célèbre extension NoScript pour Firefox, Giorgio Maone souligne l'ironie de la situation qui doit sans doute faire rire jaune Microsoft. Avec la dernière version de son navigateur Web, Microsoft a introduit une nouvelle couche de protection. Le filtre Cross Site Scripting ou filtre de script intersites a pour mission d'ériger un rempart contre les attaques autrement qualifiées XSS.

Selon les explications de Microsoft, le filtre XSS d'Internet Explorer 8 peut empêcher un site Web d'ajouter un script à un autre site. Typiquement, via des paramètres dans une URL, un message publié sur un forum, des données arbitraires sont ajoutées à une page Web traitée par le navigateur. Si ces paramètres ne sont pas vérifiés, il y a une faille XSS. Les attaques liées ont pour but la divulgation de données confidentielles, le piratage de cookie lors d'une navigation.

Le filtre XSS d'IE8 surveille les interactions entre les sites, et le cas échéant bloque l'exécution d'un code script lorsqu'une attaque potentielle est détectée. Dans la pratique, cela se manifeste par l'affichage d'un message dans la barre  d'informations : " Internet Explorer a modifié cette page pour empêcher le script de site à site ".

Là où le bât blesse est que ce filtre XSS d'IE8 peut être exploité pour mener des attaques XSS à l'encontre de sites qui à l'origine n'étaient pas vulnérables. C'est ce que pointe du doigt Giorgio Maone, tout en soulignant que ce problème est connu de longue date par les chercheurs en sécurité informatique et que Microsoft a déjà été prévenu. Heureusement, pas de full disclosure pour l'heure mais Microsoft serait bien inspiré de mener une action correctrice maintenant que la mèche a été - partiellement - vendue.

Un porte-parole de Google a confirmé à The Register l'existence d'une importante faille dans une fonctionnalité d'IE8, se gardant bien lui aussi d'en dire plus. Reste que dans l'attente d'un correctif, Google a déjà pris des mesures en mettant en place pour ses sites une mesure de contournement qui permet de bloquer la protection du filtre XSS d'IE8. L'ajout d'un en-tête de réponse " X-XSS-Protection: 0 " comme préconisé par Microsoft.

À part l'introduction de vulnérabilités, le filtre XSS d'IE8 a également quelques effets gênants avec des faux positifs.