Est-ce qu’IE est encore au centre des attentions de Microsoft ? C’est la remarque qu’ont dû se faire les équipes de ZDI (Zero Day Initiative), détenu par HP avec la fin de non-recevoir émis par la firme de Redmond pour corriger une vulnérabilité dans le navigateur.
Dustin Childs, développeur en sécurité, a expliqué sur un blog le déroulé de cette histoire. Tout commence en février dernier où l’équipe de ZDI, composée de Brian Gorenc, AbdulAziz Hariri et Simon Zuckerbraun, gagne deux compétitions : le Microsoft Mitigation Bypass Bounty et la Blue Hat Bonus for Defense. Ils récoltent au passage 125 000 dollars de prix. Ils avaient réussi à trouver une faille critique dans la dernière version d’IE qui touche la technologie ASLR (l’Address Space Layout randomisation, une technique permettant de placer de façon aléatoire les zones de données dans la mémoire virtuelle). Dustin Childs explique que cette vulnérabilité touche des millions de systèmes 32 bits qui auraient dû être corrigés.
Surtout que l’équipe en question a réalisé un POC pour démontrer la faisabilité d’une attaque sur Windows 8.1 et 7. Le spécialiste de la sécurité qui a été un ancien de Microsoft a du mal à comprendre la réaction de la firme de Redmond. « Depuis que Microsoft estime que ces problèmes n’impactent pas la configuration par défaut d’IE, mais affectant ainsi un grand nombre de client, il ne juge pas nécessaire d’affecter des ressources et de réduire le risque potentiel », précise Dustin Childs. Il ajoute que « nous sommes en désaccord avec cette position et nous avons donc publié nos travaux auprès de la communauté et auprès du grand public qui doit savoir ce à quoi il s’expose et de prendre les mesures appropriées ». Un autre risque est que les cybercriminels s’emparent de cette faille pour l’intégrer dans un kit d’exploit.
Du côté de Microsoft, on justifie l’absence de correctif par le fait que les versions 64 bits sont moins affectées que les versions 32 bits du navigateur web. Elle affirme également que le mécanisme de défense MemoryProtect conduit à réduire l’impact des exploits sur IE.
A lire aussi :
Microsoft soigne la sécurité de son navigateur web Internet Explorer
Microsoft corrige une faille critique dans Internet Explorer
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…