Si vous utilisez Microsoft Internet Explorer actuellement, tout ce que vous tapez dans la barre d’adresse du navigateur peut être divulguée à des sites.
La question a été divulguée par le chercheur en sécurité Manuel Caballero, mardi, sur les Brisées du Navigateur web.
Lorsqu’un script est exécuté à l’intérieur d’un objet-balise html, l’emplacement de l’objet de la confusion et de retour de l’emplacement principal à la place de son propre. Pour être précis, il sera de retour le texte écrit dans la barre d’adresse, donc quel que soit l’utilisateur, il sera accessible par l’attaquant.
Fondamentalement, ce que cela signifie, c’est que les sites peuvent exécuter un script simple pour savoir ce que les utilisateurs de taper dans la barre d’adresses Internet Explorer alors que l’utilisateur est sur le site.
Vous pouvez consulter cette preuve de concept de la page pour savoir si votre version d’Internet Explorer, ou en fait n’importe quel autre navigateur, est touché par le problème.
Il suffit de taper tout ce qui vous vient à l’esprit dans Internet Explorer de la barre d’adresse lorsque vous êtes sur la page et appuyer sur la touche Entrée après. La page web va intercepter le processus de chargement, par exemple, le chargement de recherche Bing si vous n’avez pas à taper une adresse, et l’affichage de la requête sur la page de chargement.
Cela confirme que tout ce que vous saisissez peut-être divulgués sur le site si elle met en œuvre un tel script. Les détails sur la façon dont le chercheur tombé sur le bug sont affichés sur la divulgation post.
Internet Explorer est de la manipulation de l’emplacement des objets lorsqu’il est injecté “onbeforeunload” est erronée, car il renvoie l’emplacement le navigateur va ou ce qui est actuellement écrit dans la barre d’adresse.
En d’autres termes, si nous extraire l’emplacement.href de l’objet lorsque l’utilisateur quitte la page principale, nous allons être en mesure de savoir ce qui a été tapé dans la barre d’adresse-bar, ou, si l’utilisateur a cliqué sur un lien, nous allons connaître l’adresse du lien que le navigateur va.
Ça y est! Maintenant, nous allons récupérer l’emplacement d’objet lorsque l’utilisateur quitte et de savoir exactement ce qu’elle a tapé dans la barre d’adresse. Il n’a pas à être une URL complète, par exemple, si l’utilisateur tape des mots dans la barre d’adresse, il sera automatiquement converti à une requête de recherche de l’URL (Bing par défaut sur IE), qui peut bien sûr être entièrement lu!
Voici une vidéo de démonstration qui met en valeur la vulnérabilité dans Internet Explorer:
Lire aussi: le Premier Regard: éteindre les Lumières pour Microsoft de Bord
J’ai testé dans la version la plus récente d’Internet Explorer sur Windows 10, et il est touché par le problème.
Aucune solution n’est disponible dès maintenant pour protéger ce que vous tapez la fuite dans Internet Explorer. Les deux options que vous avez à être très prudents quand il s’agit d’entrer quoi que ce soit dans la barre d’adresse du navigateur, ou d’utiliser un autre navigateur jusqu’à ce que Microsoft corrige le problème.