Pour gérer vos consentements :

4 failles zero day dans IE publiées, que fait Microsoft ?

La liste commence à être longue en matière de zero day pour Microsoft. Après la correction en urgence d’une faille critique touchant l’ensemble des versions de Windows, c’est au tour d’Internet Explorer d’être visé non pas par une, mais par 4 vulnérabilités critiques non corrigées.

Elles ont été découvertes par les équipes de Zero Day Initiative de HP, il y a plus de 120 jours. C’est le temps normalement laissé à Microsoft pour corriger les erreurs avant d’en publier les détails. Oui mais voilà la firme de Redmond a un peu traîné la patte en demandant des délais supplémentaires qui lui ont été accordés. Mais après plus de 6 mois (les vulnérabilités ont été montrées lors de Pwn2wn le 12 novembre 2014), ZDI a décidé de brusquer les choses et vient de publier les 4 failles zero day qui touchent IE. La firme a donc émis 4 bulletins ZDI-15-359, ZDI-15-360, ZDI-15-361 et ZDI-15-362.

Une exploitation encore lointaine

Les 4 failles présentent un risque d’exécution de code à distance. Elles touchent différents composants présents dans IE comme les objets CattrArray, CTableLayout, CCurrentStyle ou CTreePos.

Les experts en sécurité se veulent néanmoins rassurant en estimant que les chances sont faibles de trouver bientôt des exploits utilisant ces brèches. Pour Wolfgang Kandek, CTO de Qualys, « il est difficile de faire de l’ingénierie inversé sur ces failles, car les détails sont relativement rares ». Il n’empêche cette publication intervient dans un contexte tendu en matière de sécurité. La semaine dernière, Microsoft a publié un Patch Tuesday costaud corrigeant notamment une faille critique issue du piratage de Hacking Team.

A lire aussi :

Microsoft soigne la sécurité de son navigateur web Internet Explorer
Microsoft renforce l’utilisation du HTTPS au sein d’Internet Explorer

© Maxx-Studio – Shutterstock

Recent Posts

Gestion du risque IT : le top 10 des fournisseurs

Qui sont les têtes d'affiche de l'ITRM (gestion du risque IT) et comment leurs offres…

1 heure ago

Orange : qui est Christel Heydemann, la nouvelle directrice générale ?

Christel Heydemann devrait être nommée directrice générale du groupe Orange ce 28 janvier. Retour sur…

4 heures ago

ESN : Inetum reprise par Bain Capital

Le fonds qatari Mannai qui possède 99% du capital d'Inetum est entré en négociation exclusive…

5 heures ago

CircleCI étend son offre gratuite face à GitHub Actions

CircleCI a procédé à un élargissement de son offre gratuite. Comment se positionne-t-elle désormais par…

6 heures ago

Log4j : SolarWinds rattrapé par la faille

On a découvert, dans l'un des logiciels de SolarWinds, une faille susceptible de favoriser des…

8 heures ago

Cloud : 4 points à retenir du rapport Aryaka

Adoption cloud, espace de travail hybride, convergence réseau et cybersécurité… La migration monte en puissance.

3 jours ago