Microsoft Edge, le navigateur phare du constructeur américain, abritait il y a encore quelques semaines une faille de sécurité critique. Une fois exploitée, elle permettait à des pirates d'installer à distance des extensions malveillantes sur les systèmes des utilisateurs, le tout à leur insu.

D'après nos confrères du site Hacker News, Microsoft Edge abritait il y a encore quelques semaines une faille de sécurité critique. Une fois exploitée, elle aurait permis à des pirates d'installer à distance des extensions arbitraires sur les systèmes des utilisateurs pour lancer des actions malveillantes.

“Cette faille aurait pu permettre à un attaquant d'exploiter une API privée, initialement destinée à des fins de marketing, pour installer secrètement des extensions de navigateur supplémentaires avec des autorisations étendues à l'insu de l'utilisateur”, explique Oleg Zaytsev, chercheur en sécurité informatique chez Guardio Labs.

Répertoriée sous le nom CVE-2024-21388, cette vulnérabilité a été heureusement corrigée par Microsoft dans la version stable d'Edge 121.0.02277 publiée ce 30 janvier 2024. Comme l'explique la firme de Redmond sur la partie Mises à jour de sécurité de son site, “un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges nécessaires à l'installation d'une extension”. 

A lire également : Chrome, Firefox, Edge – ce codec défectueux expose une faille critique, faites vite la mise à jour

Une faille qui exploitait une particularité d'Edge

Avec un score de gravité de 6,5 sur 10, cette faille présentait mine de rien des risques conséquents pour les utilisateurs du navigateur. Comme dit plus haut, elle s'articulait autour du fait qu'Edge est conçu pour avoir un accès privilégié à certaines API privées. Via cet accès, le navigateur peut installer en toute autonomie des modules complémentaires en arrière-plan, à condition qu'ils proviennent du magasin d'extensions.

Concrètement, quel était le mode opératoire des pirates ? Ils devaient tout d'abord créer un module complémentaire en apparence inoffensif pour Edge… alors qu'il injectait en réalité du code JavaScript malveillant sur un site autorisant l'accès à l'API (comme Bing par exemple). Ce JavaScript déclenchait ensuite l'installation du module malveillant, et ce à l'insu de l'utilisateur. 

Néanmoins, les chercheurs en sécurité informatique de Guardio Labs se veulent plutôt rassurant. Pour cause, Microsoft a rapidement colmaté la brèche et de plus, les experts n'ont trouvé aucune preuve d'abus de cette faille sur la toile. Pour rappel, Microsoft travaille actuellement sur une nouvelle fonctionnalité pour Edge qui limitera considérablement la consommation de RAM du navigateur. Grâce à elle, les utilisateurs seront en mesure configurer la quantité de RAM allouée au fonctionnement d'Edge.

Source : TheHackerNews