Une faille de sécurité dans une librairie de Kindle
mar, 16/09/2014 - 15:08
Selon le site b.fl7.de, la librairie "Manage Your Content and Devices" de Amazon Kindle contient une faille de sécurité qui permet des attaques en Cross Site Scripting.
Tout simplement, un attaquant peut injecter du code JavaScript malveillant dans les métadonnées du document. Par exemple :
<script src="https://www.example.org/script.js"></script>
Après quoi la personne attaquée, en lisant le document malicieux, verra le code exécuté sur sa machine, ce qui peut aboutir au transfert des cookies du compte Amazon qui sera ainsi compromis.
Bien sûr, si tout utilisateur de Kindle qui stocke des ouvrages numériques sur son ordinateur via cette librairie est une victime potentielle de la faille, le fait est que les victimes les plus probables seront celles qui accèdent à des ouvrages dont l'origine est douteuse, pour ne pas dire plus.
Etrangement cette faille a été révélée en octobre 2013. Amazon avait signalé avoir corrigé le problème à la fin de l'année 2013, mais la faille est réapparue dans le courant de cette année, à une date non précisée. Amazon a devait été averti.