Microsoft oublie de corriger une faille Zero Day dans IE8

Jacques Cheminat,

Des chercheurs viennent de publier une faille Zero Day qui touche uniquement la version 8 d’Internet Explorer. Cette découverte date de 7 mois et Microsoft n’a toujours pas émis de patch, préférant un renforcement des paramètres du navigateur.

On connaissait le patch qui ne corrigeait rien, voici le tour du correctif inexistant. L’affaire remonte à octobre 2013, l’association Zero Day Initiative (ZDI) soutenue par TippingPoint de HP et organisatrice du célèbre concours  de hacking Pwn2own, découvre une faille Zero Day (principalement Peter Van Eeckhoutte de l’équipe Corelan) dans la version 8 d’Internet Explorer (qui fonctionne notamment sous Windows XP). La vulnérabilité est localisée dans l’objet CMarkup de la bibliothèque MSHTML (moteur de rendu). Selon l’association, un attaquant peut profiter de ce bug pour exécuter du code arbitraire en réorientant l’utilisateur vers un site compromis ou par l’ouverture d’un document corrompu.

Microsoft a été averti de la découverte de cette faille, mais n’a pas réagi dans un premier temps. L’association ZDI a donc réitéré sa demande auprès de l’éditeur, mais en vain. Selon la politique de ZDI, un délai de 180 jours a été accordé à l’éditeur pour qu’il puisse corriger la vulnérabilité. Devant l’absence de réponse, ZDI a donc rendu public cette faille Zero Day qui date maintenant de 7 mois.

Un simple renforcement des paramètres de sécurité d’IE

La firme de Redmond n’a pas été complètement mutique dans cette affaire. Au lieu d’un correctif, Microsoft a choisi de renforcer les paramètres de sécurité d’IE8 pour bloquer et alerter sur l’utilisation d’ActiveX Control et d’Active Scripting. Il préconise aussi l’installation de son outil d’atténuation, EMET (Enhanced Mitigation Experience Toolkit).

Il s’agit de la deuxième faille Zero Day trouvée dans Internet Explorer en deux mois. Au mois d’avril dernier, Microsoft avait lancé une alerte de sécurité et émis un correctif en urgence (en dehors du traditionnel Patch Tuesday). Pour cette deuxième faille, l’éditeur attend peut-être le prochain Patch Tuesday pour la corriger. Il mettra certainement moins de temps que les administrateurs de Linux qui viennent de patcher dans le noyau une vulnérabilité vieille de 5 ans.

crédit photo © bloomua – shutterstock

Lire aussi :

Microsoft : les Patch Tuesday deviennent des guides de piratage de Windows XP

Patch Tuesday: Microsoft corrige encore IE pour Windows sauf XP