C’est à travers la liste de diffusion spécialisée ‘Full Disclosure’ que Michal Zalewski a décidé de publier le fruit de ses recherches sur la sécurité du navigateur Internet Explorer. Une vulnérabilité dans le décodeur d’images au format JPEG permettant un déni de service sur le butineur a été mise en exergue.
La visualisation d’une image piégée, spécialement conçue à cet effet, provoque le « crash » du navigateur. Pour le moment, il n’est pas indiqué si la vulnérabilité pourrait permettre l’exécution de code arbitraire mais elle n’est pas sans rappeler la vulnérabilité JPEG GDI+. Michal Zalewski n’a pas suivi le processus habituel pour annoncer ce nouveau défaut de sécurité. En effet, Microsoft a découvert le problème en même temps que les abonnés à la liste de diffusion ‘full-disclosure’. L’usage voudrait que l’éditeur soit prévenu avant que l’information soit rendue publique mais d’après le chercheur, Microsoft ne serait pas assez réactif et n’accorderait pas assez d’importance à ce type de faille. Laissons donc la communauté juger de la sévérité du problème. Quoi qu’il en soit, à cette heure, aucun correctif n’est disponible. Des recherches approfondies nous en apprendront sûrement plus sur la vulnérabilité et ses conséquences possibles. Il est certain que bon nombre de spécialistes doivent être, en ce moment même, le nez dans le ‘debugger’ pour trouver un moyen d’utiliser cette faille afin d’exécuter du code arbitraire et rendre cette faille suffisamment dangereuse aux yeux de Microsoft pour que la firme de Redmond décide de publier rapidement un correctif. Aurélien Cabezon pour Vulnerabilite.com
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…