crédit photo © bloomua - shutterstock
On connaissait le patch qui ne corrigeait rien, voici le tour du correctif inexistant. L’affaire remonte à octobre 2013, l’association Zero Day Initiative (ZDI) soutenue par TippingPoint de HP et organisatrice du célèbre concours de hacking Pwn2own, découvre une faille Zero Day (principalement Peter Van Eeckhoutte de l’équipe Corelan) dans la version 8 d’Internet Explorer (qui fonctionne notamment sous Windows XP). La vulnérabilité est localisée dans l’objet CMarkup de la bibliothèque MSHTML (moteur de rendu). Selon l’association, un attaquant peut profiter de ce bug pour exécuter du code arbitraire en réorientant l’utilisateur vers un site compromis ou par l’ouverture d’un document corrompu.
Microsoft a été averti de la découverte de cette faille, mais n’a pas réagi dans un premier temps. L’association ZDI a donc réitéré sa demande auprès de l’éditeur, mais en vain. Selon la politique de ZDI, un délai de 180 jours a été accordé à l’éditeur pour qu’il puisse corriger la vulnérabilité. Devant l’absence de réponse, ZDI a donc rendu public cette faille Zero Day qui date maintenant de 7 mois.
La firme de Redmond n’a pas été complètement mutique dans cette affaire. Au lieu d’un correctif, Microsoft a choisi de renforcer les paramètres de sécurité d’IE8 pour bloquer et alerter sur l’utilisation d’ActiveX Control et d’Active Scripting. Il préconise aussi l’installation de son outil d’atténuation, EMET (Enhanced Mitigation Experience Toolkit).
Il s’agit de la deuxième faille Zero Day trouvée dans Internet Explorer en deux mois. Au mois d’avril dernier, Microsoft avait lancé une alerte de sécurité et émis un correctif en urgence (en dehors du traditionnel Patch Tuesday). Pour cette deuxième faille, l’éditeur attend peut-être le prochain Patch Tuesday pour la corriger. Il mettra certainement moins de temps que les administrateurs de Linux qui viennent de patcher dans le noyau une vulnérabilité vieille de 5 ans.
crédit photo © bloomua – shutterstock
Lire aussi :
Microsoft : les Patch Tuesday deviennent des guides de piratage de Windows XP
Patch Tuesday: Microsoft corrige encore IE pour Windows sauf XP
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…