IE : Microsoft tourne le dos à une faille critique ?

Jacques Cheminat,

Des experts en sécurité ont publié une faille critique dans Internet Explorer et une méthode pour s’en servir. Microsoft fait la sourde d’oreille et ne prévoit pas de correctif.

Est-ce qu’IE est encore au centre des attentions de Microsoft ? C’est la remarque qu’ont dû se faire les équipes de ZDI (Zero Day Initiative), détenu par HP avec la fin de non-recevoir émis par la firme de Redmond pour corriger une vulnérabilité dans le navigateur.

Dustin Childs, développeur en sécurité, a expliqué sur un blog le déroulé de cette histoire. Tout commence en février dernier où l’équipe de ZDI, composée de Brian Gorenc, AbdulAziz Hariri et Simon Zuckerbraun, gagne deux compétitions : le Microsoft Mitigation Bypass Bounty et la Blue Hat Bonus for Defense. Ils récoltent au passage 125 000 dollars de prix. Ils avaient réussi à trouver une faille critique dans la dernière version d’IE qui touche la technologie ASLR (l’Address Space Layout randomisation, une technique permettant de placer de façon aléatoire les zones de données dans la mémoire virtuelle). Dustin Childs explique que cette vulnérabilité touche des millions de systèmes 32 bits qui auraient dû être corrigés.

Microsoft minimise la faille

Surtout que l’équipe en question a réalisé un POC pour démontrer la faisabilité d’une attaque sur Windows 8.1 et 7. Le spécialiste de la sécurité qui a été un ancien de Microsoft a du mal à comprendre la réaction de la firme de Redmond. « Depuis que Microsoft estime que ces problèmes n’impactent pas la configuration par défaut d’IE, mais affectant ainsi un grand nombre de client, il ne juge pas nécessaire d’affecter des ressources et de réduire le risque potentiel », précise Dustin Childs. Il ajoute que « nous sommes en désaccord avec cette position et nous avons donc publié nos travaux auprès de la communauté et auprès du grand public qui doit savoir ce à quoi il s’expose et de prendre les mesures appropriées ». Un autre risque est que les cybercriminels s’emparent de cette faille pour l’intégrer dans un kit d’exploit.

Du côté de Microsoft, on justifie l’absence de correctif par le fait que les versions 64 bits sont moins affectées que les versions 32 bits du navigateur web. Elle affirme également que le mécanisme de défense MemoryProtect conduit à réduire l’impact des exploits sur IE.

A lire aussi :

Microsoft soigne la sécurité de son navigateur web Internet Explorer

Microsoft corrige une faille critique dans Internet Explorer

Crédit photo : Alexskopje-Shutterstock