Est-ce qu’IE est encore au centre des attentions de Microsoft ? C’est la remarque qu’ont dû se faire les équipes de ZDI (Zero Day Initiative), détenu par HP avec la fin de non-recevoir émis par la firme de Redmond pour corriger une vulnérabilité dans le navigateur.
Dustin Childs, développeur en sécurité, a expliqué sur un blog le déroulé de cette histoire. Tout commence en février dernier où l’équipe de ZDI, composée de Brian Gorenc, AbdulAziz Hariri et Simon Zuckerbraun, gagne deux compétitions : le Microsoft Mitigation Bypass Bounty et la Blue Hat Bonus for Defense. Ils récoltent au passage 125 000 dollars de prix. Ils avaient réussi à trouver une faille critique dans la dernière version d’IE qui touche la technologie ASLR (l’Address Space Layout randomisation, une technique permettant de placer de façon aléatoire les zones de données dans la mémoire virtuelle). Dustin Childs explique que cette vulnérabilité touche des millions de systèmes 32 bits qui auraient dû être corrigés.
Surtout que l’équipe en question a réalisé un POC pour démontrer la faisabilité d’une attaque sur Windows 8.1 et 7. Le spécialiste de la sécurité qui a été un ancien de Microsoft a du mal à comprendre la réaction de la firme de Redmond. « Depuis que Microsoft estime que ces problèmes n’impactent pas la configuration par défaut d’IE, mais affectant ainsi un grand nombre de client, il ne juge pas nécessaire d’affecter des ressources et de réduire le risque potentiel », précise Dustin Childs. Il ajoute que « nous sommes en désaccord avec cette position et nous avons donc publié nos travaux auprès de la communauté et auprès du grand public qui doit savoir ce à quoi il s’expose et de prendre les mesures appropriées ». Un autre risque est que les cybercriminels s’emparent de cette faille pour l’intégrer dans un kit d’exploit.
Du côté de Microsoft, on justifie l’absence de correctif par le fait que les versions 64 bits sont moins affectées que les versions 32 bits du navigateur web. Elle affirme également que le mécanisme de défense MemoryProtect conduit à réduire l’impact des exploits sur IE.
A lire aussi :
Microsoft soigne la sécurité de son navigateur web Internet Explorer
Microsoft corrige une faille critique dans Internet Explorer
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…