Spider.io a publié une vulnérabilité qui touche les versions 6 à 10 d’Internet Explorer. Elle permet de suivre les mouvements de la souris même lorsque la fenêtre d’Internet Explorer est minimisée.

Le 1er octobre 2012, la vulnérabilité qui affecte les mouvements de la souris sous les versions 6 à 10 d’Internet Explorer a été rapportée à Microsoft par spider.io. Et bien que les équipes de sécurité de Microsoft aient reconnu la faille, elles indiquent qu’il n’y a aucun plan qui prévoit de patcher celle-ci dans un futur proche. La vulnérabilité est déjà exploitée par au moins deux entreprises de publicité et analyse le web à travers la visite de milliards de pages chaque mois.

Un attaquant peut avoir accès aux mouvements de la souris d’un utilisateur simplement en achetant de l’exposition publicitaire sur une page web. Des propriétés de l’objet Event sont utilisées en association avec la méthode fireEvent (). Ainsi le Javascript permet de détecter et suivre les mouvements de la souris à l’écran même lorsque l’onglet contenant la publicité n’est pas actif ou lorsque la fenêtre IE est fermée. La méthode fireEvent () expose également l’état d’activation des touches shift, ctrl et alt.

Un problème pour les claviers virtuels non aléatoires

Cela peut poser un problème pour la sécurité de certains claviers virtuels qui sont utilisés par les banques en ligne par exemple. Toutefois des services comme la Société Générale et d’autres disposent aléatoirement les chiffres du code secret sur leur clavier virtuel pour encore renforcer la sécurité.

Spider.io a publié une démonstration de la fuite des données de la souris sous la forme d’une vidéo et d’un jeu sur son site.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 144004
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI