Spider.io a publié une vulnérabilité qui touche les versions 6 à 10 d’Internet Explorer. Elle permet de suivre les mouvements de la souris même lorsque la fenêtre d’Internet Explorer est minimisée.

Le 1er octobre 2012, la vulnérabilité qui affecte les mouvements de la souris sous les versions 6 à 10 d’Internet Explorer a été rapportée à Microsoft par spider.io. Et bien que les équipes de sécurité de Microsoft aient reconnu la faille, elles indiquent qu’il n’y a aucun plan qui prévoit de patcher celle-ci dans un futur proche. La vulnérabilité est déjà exploitée par au moins deux entreprises de publicité et analyse le web à travers la visite de milliards de pages chaque mois.

Un attaquant peut avoir accès aux mouvements de la souris d’un utilisateur simplement en achetant de l’exposition publicitaire sur une page web. Des propriétés de l’objet Event sont utilisées en association avec la méthode fireEvent (). Ainsi le Javascript permet de détecter et suivre les mouvements de la souris à l’écran même lorsque l’onglet contenant la publicité n’est pas actif ou lorsque la fenêtre IE est fermée. La méthode fireEvent () expose également l’état d’activation des touches shift, ctrl et alt.

Un problème pour les claviers virtuels non aléatoires

Cela peut poser un problème pour la sécurité de certains claviers virtuels qui sont utilisés par les banques en ligne par exemple. Toutefois des services comme la Société Générale et d’autres disposent aléatoirement les chiffres du code secret sur leur clavier virtuel pour encore renforcer la sécurité.

Spider.io a publié une démonstration de la fuite des données de la souris sous la forme d’une vidéo et d’un jeu sur son site.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI