Microsoft Edge, le navigateur phare de l’entreprise américaine, a récemment été confronté à une faille de sécurité majeure. Cette vulnérabilité permettait à des pirates informatiques d’installer à distance des extensions malveillantes sur les systèmes des utilisateurs sans leur consentement.
Selon les informations relayées par le site Hacker News, cette faille, répertoriée sous le nom CVE-2024-21388, a été identifiée comme une menace sérieuse. Elle exploitait une API privée destinée à des fins de marketing pour installer secrètement des extensions de navigateur avec des autorisations étendues, offrant ainsi aux pirates un accès non autorisé aux systèmes des utilisateurs.
Heureusement, Microsoft a rapidement réagi en publiant une mise à jour de sécurité dans la version stable d’Edge 121.0.02277, sortie le 30 janvier 2024. Cette correction a permis de colmater la faille et d’empêcher toute exploitation ultérieure.
Cette vulnérabilité, avec un score de gravité de 6,5 sur 10, présentait des risques significatifs pour les utilisateurs du navigateur. Elle exploitait le privilège d’accès à certaines API privées d’Edge, permettant l’installation automatique d’extensions en arrière-plan à partir du magasin d’extensions.
Les pirates devaient créer des extensions en apparence inoffensives, mais contenant en réalité du code JavaScript malveillant. Ce code était injecté sur des sites autorisant l’accès à l’API, déclenchant ainsi l’installation des extensions malveillantes à l’insu des utilisateurs.
Malgré la gravité de la faille, aucun abus n’a été signalé par les chercheurs en sécurité informatique de Guardio Labs. Microsoft travaille également sur de nouvelles fonctionnalités pour renforcer la sécurité d’Edge, notamment en limitant la consommation de RAM du navigateur.
La réactivité de Microsoft dans la correction de cette faille souligne l’importance de maintenir ses logiciels à jour pour garantir une navigation en ligne sécurisée. Les utilisateurs sont encouragés à installer les mises à jour proposées par les éditeurs de logiciels pour se prémunir contre les menaces potentielles.
