Faille de l'objet XMLHttpRequest dans Internet Explorer

L’objet XMLHttpRequest a été créé initialement par Microsoft pour Internet Explorer, pour ensuite être adopté par d’autres navigateurs (Mozilla, Konqueror, Safari et Opéra). Comme l’indique la page qui lui est consacrée par Openweb cet objet « permet de faire des requêtes HTTP afin de récupérer des données au format XML qui pourront être intégrées à un document ». Son utilité première sera ainsi de pouvoir mettre à jour une page de données, sans recharger la page en entier, d’où un gain de bande passante.

Le hic est que cet objet est parfois frappé de failles. Au mois de juin, ainsi, nous évoquions l’existence de plusieurs failles dans Opera. L’une d’elles concernait spécialement cet objet XMLHttpRequest. Exploitée habilement, elle permettait d'accéder à des ressources externes au domaine pour lequel l'objet avait été ouvert. Plus récemment, Firefox connaissait une déconvenue similaire et liée à une mauvaise gestion des entêtes malformées envoyées avec cet objet.

Internet Explorer est à son tour frappé pour une défaillance sur cet objet, comme l'a découvert Amit Klein. L’attaque permet là encore de « malformer » des requêtes http, imiter un site légitime ou encore accéder à des données situées dans le cache du navigateur, etc. Classée "modérément critique" par Secunia (elle exige un lot de conditions pour être applicable, notamment la présence d’un proxy), la faille en question peut être contrecarrée en plaçant le niveau de sécurité du navigateur au maximum. La vulnérabilité a été confirmée sur les systèmes à jour avec IE 6.0 sous XP SP2, mais d’autres versions seraient impactées. Selon Zdnet UK, Microsoft n’aurait que moyennement apprécié ce full disclosure, et l’éditeur enquête actuellement sur cette faille pour proposer sous peu une rustine. Il n’aurait cependant pas eu écho d’une exploitation malicieuse de ce bug, à ce jour.