Qu’est-ce qui vient juste de se passer? Une vulnérabilité de navigateur affectant Chrome, Firefox et Safari a été découverte suite à une récente version du logiciel Chrome. Les développeurs de Google ont identifié l’attaque basée sur le presse-papiers, qui permet aux sites Web malveillants d’écraser le contenu du presse-papiers d’un utilisateur lorsque celui-ci ne fait rien d’autre que de visiter une page Web compromise. La vulnérabilité affecte également tous les navigateurs basés sur Chromium, mais semble être plus répandue dans Chrome, où un geste de l’utilisateur utilisé pour copier du contenu est actuellement signalé comme défectueux.
Développeur Google Jeff Johnson a expliqué comment la vulnérabilité peut être déclenchée de plusieurs manières, qui accordent toutes à la page des autorisations pour écraser le contenu du presse-papiers. Une fois accordés, les utilisateurs peuvent être affectés en déclenchant activement une action de coupe ou de copie, en cliquant sur des liens dans la page, ou même en prenant des actions aussi simples que de faire défiler vers le haut ou vers le bas sur la page en question.
Johnson a expliqué le bogue, soulignant que si les utilisateurs de Firefox et de Safari doivent activement copier le contenu dans le presse-papiers à l’aide de Control+C ou ⌘-C, les utilisateurs de Chrome peuvent être affectés en visualisant simplement une page malveillante pendant pas plus d’une fraction de temps. deuxième.
Le billet de blog de Johnson fait référence à des exemples vidéo de Sime, un créateur de contenu spécialisé dans les contenus destinés aux développeurs Web. Les démonstrations de Šime révèlent à quelle vitesse les utilisateurs de Chrome peuvent être affectés, la vulnérabilité étant déclenchée simplement en basculant entre les onglets actifs du navigateur. Indépendamment de la durée ou du type d’interaction de l’utilisateur, le site malveillant remplace instantanément le contenu du presse-papiers par ce que l’auteur de la menace décide de livrer.
Pour pouvoir écrire dans le presse-papiers, le site Web doit se trouver dans l’onglet actif. Basculer rapidement les onglets suffit. Vous n’avez pas besoin d’interagir avec le site Web ou de le regarder pendant plus d’un dixième de seconde. pic.twitter.com/KzsT6UByAq
— Šime (ˈshe-meh) (@simevidas) 2 septembre 2022
Le blog de Johnson fournit des détails techniques décrivant comment une page peut obtenir l’autorisation d’écrire dans le presse-papiers du système. Une méthode utilise une commande désormais obsolète, document.execCommand.
Une autre méthode tire parti de la plus récente navigateur.clipboard.writetext API, qui a la capacité d’écrire n’importe quel texte dans le presse-papiers sans aucune action supplémentaire requise. Le blog de Johnson comprend une démonstration du fonctionnement des deux approches de la même vulnérabilité.
Bien que la vulnérabilité puisse ne pas sembler dommageable à première vue, les utilisateurs doivent rester conscients de la façon dont les acteurs malveillants peuvent tirer parti de l’échange de contenu pour exploiter des victimes sans méfiance. Par exemple, un site frauduleux peut remplacer une URL précédemment copiée par une autre URL frauduleuse, conduisant sans le savoir l’utilisateur vers des sites supplémentaires conçus pour capturer des informations et compromettre la sécurité.
La vulnérabilité offre également aux acteurs de la menace la possibilité de remplacer les adresses de portefeuille de crypto-monnaie copiées enregistrées dans le presse-papiers par l’adresse d’un autre portefeuille contrôlé par un tiers malveillant. Une fois que la transaction a eu lieu et que les fonds sont envoyés au portefeuille frauduleux, l’utilisateur victime n’a généralement que peu ou pas de capacité à retracer et à récupérer ses fonds.
Selon Les nouvelles des pirates, Google est conscient de la vulnérabilité et devrait publier un correctif dans un proche avenir. Jusque-là, les utilisateurs doivent faire preuve de prudence en évitant d’ouvrir des pages en utilisant du contenu copié dans le presse-papiers et vérifier la sortie de leur contenu copié avant de poursuivre toute activité susceptible de compromettre leur sécurité personnelle ou financière.