Vigil@nce - Internet Explorer : fuite d’informations sur l’activité de la souris
décembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser les évènements de JavaScript dans une
page vue avec Internet Explorer, afin d’espionner tous les
mouvements de la souris.
Produits concernés : IE
Gravité : 2/4
Date création : 14/12/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Le code JavaScript présent dans une page HTML peut recevoir des
évènements d’IHM, comme les frappes de clavier ou les mouvements
de souris. La transmission de ces évènements est normalement à
l’initiative du navigateur.
Internet Explorer permet aussi au code embarqué de demander la
génération d’un évènement IHM. Cependant, les évènements de type
mouvement de souris envoyés par le navigateur au code embarqué ne
sont pas restreints à la page contenant le code demandeur. Cela
permet à ce code de déterminer la position de la souris à tout
instant, tant que la page contenant le code demandeur est chargée.
Un attaquant peut donc utiliser les évènements de JavaScript dans
une page vue avec Internet Explorer, afin d’espionner tous les
mouvements de la souris.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET