Microsoft Edge WebView2 Runtime disponible pour Windows 10, mais non fiable

phishing e-mail

Microsoft commence à déployer WebView2 Runtime sur le système d’exploitation Windows 10. Pour Windows 11, le déploiement n’est pas nécessaire, car le runtime est automatiquement installé dans le système.

Limin Zhu, chef de programme senior chez Microsoft, commence le blog en expliquant à quoi sert WebView2 : « Microsoft Edge WebView2 est un outil destiné aux développeurs pour mettre du contenu web dans les applications. »

Début du déploiement

Le blog annonce l’arrivée du runtime pour Windows 10. Actuellement, seuls les PC grand public sont concernés. Les appareils professionnels ne bénéficieront pas de WebView2, mais le géant de la technologie lui-même affirme qu’il y réfléchit.

À cette fin, Microsoft a recommandé aux développeurs travaillant sur Windows 10 d’installer et de distribuer le runtime avec leurs applications. « Au cours des deux dernières années, plus de 400 millions de ces appareils sont désormais équipés du Runtime WebView2 grâce aux développeurs qui créent et distribuent des applications WebView 2. »

Authentification multifactorielle non garantie

En revanche, en termes de cybersécurité, le runtime n’est pas encore parfait. Un chercheur en sécurité a découvert une nouvelle méthode d’hameçonnage permettant de contourner l’authentification multifactorielle (AMF).

M. d0x, le chercheur, décrit comment il est possible d’ajouter du code JavaScript malveillant aux sites web qui se chargent dans les applications WebView2. La page web chargée semble normale, mais JavaScript fonctionne en arrière-plan et transmet tout ce qui est saisi dans les applications à un serveur web sélectionné. Sur les pages de connexion, cette méthode permet donc de voler facilement les noms d’utilisateur et les mots de passe.

Il a également pu voler les cookies de connexion via le contrôle, après qu’un utilisateur se soit connecté. Les codes d’authentification en font partie, ce qui permet de contourner l’AMF. Le chercheur a lui-même testé la méthode en utilisant le navigateur web Google Chrome.

newsletter

Abonnez-vous gratuitement à ITdaily !
Category(Required)
Consent(Required)
This field is for validation purposes and should be left unchanged.
retour à la maison