Est-ce qu’IE est encore au centre des attentions de Microsoft ? C’est la remarque qu’ont dû se faire les équipes de ZDI (Zero Day Initiative), détenu par HP avec la fin de non-recevoir émis par la firme de Redmond pour corriger une vulnérabilité dans le navigateur.
Dustin Childs, développeur en sécurité, a expliqué sur un blog le déroulé de cette histoire. Tout commence en février dernier où l’équipe de ZDI, composée de Brian Gorenc, AbdulAziz Hariri et Simon Zuckerbraun, gagne deux compétitions : le Microsoft Mitigation Bypass Bounty et la Blue Hat Bonus for Defense. Ils récoltent au passage 125 000 dollars de prix. Ils avaient réussi à trouver une faille critique dans la dernière version d’IE qui touche la technologie ASLR (l’Address Space Layout randomisation, une technique permettant de placer de façon aléatoire les zones de données dans la mémoire virtuelle). Dustin Childs explique que cette vulnérabilité touche des millions de systèmes 32 bits qui auraient dû être corrigés.
Surtout que l’équipe en question a réalisé un POC pour démontrer la faisabilité d’une attaque sur Windows 8.1 et 7. Le spécialiste de la sécurité qui a été un ancien de Microsoft a du mal à comprendre la réaction de la firme de Redmond. « Depuis que Microsoft estime que ces problèmes n’impactent pas la configuration par défaut d’IE, mais affectant ainsi un grand nombre de client, il ne juge pas nécessaire d’affecter des ressources et de réduire le risque potentiel », précise Dustin Childs. Il ajoute que « nous sommes en désaccord avec cette position et nous avons donc publié nos travaux auprès de la communauté et auprès du grand public qui doit savoir ce à quoi il s’expose et de prendre les mesures appropriées ». Un autre risque est que les cybercriminels s’emparent de cette faille pour l’intégrer dans un kit d’exploit.
Du côté de Microsoft, on justifie l’absence de correctif par le fait que les versions 64 bits sont moins affectées que les versions 32 bits du navigateur web. Elle affirme également que le mécanisme de défense MemoryProtect conduit à réduire l’impact des exploits sur IE.
A lire aussi :
Microsoft soigne la sécurité de son navigateur web Internet Explorer
Microsoft corrige une faille critique dans Internet Explorer
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…