Posté le août 12, 2020 à 0:14
LA FAILLE DE GOOGLE CHROME PERMET AUX HACKERS DE CONTOURNER LA PROTECTION CSP, AVERTISSENT LES CHERCHEURS
Un chercheur en cybersécurité a révélé que les utilisateurs d’Opera, de Microsoft Edge et de Google Chrome pourraient être exposés à des attaques en raison d’une seule vulnérabilité des navigateurs web basés sur Chrome.
Selon le rapport, la vulnérabilité affecte les utilisateurs de Windows, Mac et Android. La vulnérabilité zero-day sur Chromium était exploitable de mars l’année dernière à juillet de cette année. Selon les statistiques sur les parts de marché du mois dernier, Chromium est utilisé dans plus de 65 % des navigateurs web. Cela signifie que le nombre de cibles potentielles pourrait atteindre des milliards.
La nature de la vulnérabilité montre que la plupart des plus grands sites web du monde pourraient être vulnérables à l’exploitation potentielle de la menace de contournement de la sécurité des contenus. Parmi ces entreprises figurent également de grands noms comme Gmail, Facebook, Zoom, WhatsApp, TikTok, Roblox, Instagram, ainsi qu’ESPN.
Le chercheur de PerimeterX, Gal Weizman, lors d’une étude technique approfondie, a expliqué comment il a découvert la vulnérabilité des navigateurs web qui ont affecté Opera, Edge et Chrome de mars de l’année dernière jusqu’au mois dernier. Il a déclaré que la vulnérabilité pourrait permettre à un acteur de la menace de contourner complètement les règles du CSP.
La vulnérabilité, connue sous le nom de CVE-2020-6519, peut potentiellement avoir un impact sur presque tous les sites web, car la majorité d’entre eux n’utilisent pas de politiques de sécurité de contenu améliorées (CSP) gérées du côté serveur.
GitHub et Yahoo figurent parmi les sites web non menacés
Selon le chercheur, il y a peu de sites importants qui ne sont pas actuellement menacés d’infiltration à cause de la vulnérabilité. Il s’agit notamment de Yahoo, Twitter, PayPal, LinkedIn, Google Play Store, et GitHub.
Les sites ont mis en œuvre le CSP en utilisant hash ou nonce, en plus de la protection côté serveur qui est également importante.
Comme son nom l’indique, une politique de sécurité du contenu est la principale méthode pour assurer la sécurité des données en utilisant des politiques qui permettent aux propriétaires de sites web d’empêcher l’exécution de codes fantômes malveillants.
Le CSP est utilisé pour ordonner aux navigateurs d’exécuter des règles côté client en autorisant des requêtes spécifiques ou en les bloquant. Il est destiné à protéger les visiteurs du site web contre le risque d’exécution de scripts malveillants côté client.
M. Weizman a rappelé qu' »il est extrêmement risqué de trouver une faille dans le mécanisme de sécurité qui empêche de telles violations », car les sites web concernés dépendent fortement du CSP pour leur protection.
Une attaque peut ne pas être aussi facile qu’il n’y paraît
Bien que les sites web mentionnés risquent d’être attaqués, cela ne signifie pas que les hackers réussiront lorsqu’ils tenteront d’attaquer les sites ciblés. En fait, même si une vulnérabilité zero-day existe, elle est rarement synonyme d’attaques potentielles. En effet, plusieurs autres facteurs doivent être mis en place avant qu’une attaque ne soit réussie.
Au moins, avant que la vulnérabilité ne puisse conduire à une attaque réelle, un acteur de la menace doit pouvoir appeler un script malveillant. Ce seul facteur explique pourquoi la vulnérabilité n’est pas qualifiée de critique, mais de moyenne.
La faille a été corrigée
Les chercheurs affirment que la vulnérabilité a été corrigée et que les sites mis à jour ne sont pas menacés. Bien que la vulnérabilité ait été corrigée, ceux qui n’ont pas mis à jour ou appliqué la dernière mise à jour risquent toujours d’être attaqués. En conséquence, les chercheurs en sécurité ont averti les utilisateurs de faire leurs mises à jour le plus rapidement possible, en particulier ceux qui utilisent le navigateur Chrome 84 le plus récent.
Même ceux qui utilisent Opera ou Edge peuvent toujours vérifier s’ils ont installé la mise à jour complète. Ils peuvent le faire en choisissant l’option « À propos » du menu « Aide », qui les mènera à la section des mises à jour.
Il existe également un rôle pour les propriétaires de sites web qui veulent s’assurer qu’ils sont complètement couverts et protégés. Outre les politiques habituelles des FSC, ils doivent envisager d’ajouter une couche de sécurité supplémentaire. Ils peuvent utiliser la surveillance basée sur les données et la détection de code fictif pour empêcher l’injection de code en temps réel, comme l’a recommandé PerimeterX.
Une responsable des relations publiques à l’Opéra Julia Szyndielors a mentionné que la vulnérabilité a été corrigée. Cependant, tout le monde doit garder son navigateur à jour pour éviter d’être sujet à une quelconque faille.
En outre, la dernière mise à jour de Chrome 84.0.4147.125 pour les systèmes Linux, Mac et Windows corrige également 15 autres vulnérabilités de sécurité, dont 12 sont considérées comme des vulnérabilités à haut risque.
Il a déclaré avoir également contacté Microsoft et Google pour leur fournir des informations sur la vulnérabilité et les processus d’action.