Aller au contenu principal

Avis : Problème de « Passkey Dialog Clickjacking »

Fred Rodriguez
Mise à jour

Publié initialement le 9 août 2025

Vue d'ensemble

Arrow a résolu un problème de clickjacking qui, dans certaines conditions, aurait pu permettre à un attaquant de manipuler un utilisateur pour qu'il se connecte sans le savoir par clé d'accès à un domaine légitime.

Le problème a été signalé à Arrow par un chercheur externe en sécurité le 28 juillet 2025, et corrigé pour tous les clients le 1er août 2025, dans la version 6.2531.1 d'Arrow.

Arrow n'a reçu aucune information faisant état d'une exploitation de ce problème.

Produits concernés

Ce problème concerne toutes les versions d'Arrow Smart Extension antérieures à la version 6.2531.1 (1er août 2025). Arrow Smart Extension v6.2531.1 empêche l'exploitation de ce problème.

Les applications mobiles Arrow ne sont pas concernées par ce problème.

Actions recommandées

Si vous utilisez une version concernée de l'extension Arrow Smart, passez à la dernière version (v6.2531.1).

Description

Arrow prend en charge l'authentification par mot de passe, qui permet à un utilisateur de stocker des clés d'accès dans Arrow et de les utiliser pour se connecter au domaine tiers associé à la clé d'accès.

Si un utilisateur visitait un site web légitime pour lequel il possédait un mot de passe et que ce domaine était vulnérable à l'injection de JavaScript, un attaquant pourrait superposer un élément de page HTML à la boîte de dialogue contextuelle Arrow log-in-with-passkey. Si l'utilisateur cliquait sur l'élément de page de l'attaquant, il se connecterait sans le savoir par clé d'accès à ce site Web légitime.

L'exploitation de ce problème est complexe et oblige l'attaquant à :

  1. Trouvez un domaine tiers légitime pour lequel un utilisateur d'Arrow possédait un mot de passe. Les clés d'accès sont spécifiques à chaque domaine, et la boîte de dialogue contextuelle Arrow permettant de se connecter avec une clé d'accès n'apparaît que sur un domaine où une clé d'accès a été enregistrée.
  2. Ce domaine tiers légitime aurait besoin d'une vulnérabilité d'injection de code JavaScript, telle que XSS (Cross-Site Scripting), qui a permis à l'attaquant d'injecter ses propres éléments de page sur le site Web.

Impact

Si un utilisateur se connectait à un domaine légitime mais vulnérable, l'attaquant pourrait exploiter les vulnérabilités de ce site Web pour accéder sans autorisation au compte de l'utilisateur sur ce site. Dans ce scénario, les clés d'accès elles-mêmes resteraient sécurisées et ne seraient pas exposées.

Remerciements

Le problème a été signalé à Arrow par Marek Tóth. Nous remercions Marek d'avoir attiré notre attention sur ce problème et pour son partenariat pour le résoudre.

Vous avez besoin d'aide ou vous avez des questions ?

Veuillez nous envoyer un e-mail à l'adresse « support@dashlane.com » en indiquant « Problème de superposition de boîte de dialogue » comme objet.

Vous pouvez également contacter directement votre Customer Success Manager.

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.

Réalisé par Zendesk