On connaissait le patch qui ne corrigeait rien, voici le tour du correctif inexistant. L’affaire remonte à octobre 2013, l’association Zero Day Initiative (ZDI) soutenue par TippingPoint de HP et organisatrice du célèbre concours de hacking Pwn2own, découvre une faille Zero Day (principalement Peter Van Eeckhoutte de l’équipe Corelan) dans la version 8 d’Internet Explorer (qui fonctionne notamment sous Windows XP). La vulnérabilité est localisée dans l’objet CMarkup de la bibliothèque MSHTML (moteur de rendu). Selon l’association, un attaquant peut profiter de ce bug pour exécuter du code arbitraire en réorientant l’utilisateur vers un site compromis ou par l’ouverture d’un document corrompu.
Microsoft a été averti de la découverte de cette faille, mais n’a pas réagi dans un premier temps. L’association ZDI a donc réitéré sa demande auprès de l’éditeur, mais en vain. Selon la politique de ZDI, un délai de 180 jours a été accordé à l’éditeur pour qu’il puisse corriger la vulnérabilité. Devant l’absence de réponse, ZDI a donc rendu public cette faille Zero Day qui date maintenant de 7 mois.
La firme de Redmond n’a pas été complètement mutique dans cette affaire. Au lieu d’un correctif, Microsoft a choisi de renforcer les paramètres de sécurité d’IE8 pour bloquer et alerter sur l’utilisation d’ActiveX Control et d’Active Scripting. Il préconise aussi l’installation de son outil d’atténuation, EMET (Enhanced Mitigation Experience Toolkit).
Il s’agit de la deuxième faille Zero Day trouvée dans Internet Explorer en deux mois. Au mois d’avril dernier, Microsoft avait lancé une alerte de sécurité et émis un correctif en urgence (en dehors du traditionnel Patch Tuesday). Pour cette deuxième faille, l’éditeur attend peut-être le prochain Patch Tuesday pour la corriger. Il mettra certainement moins de temps que les administrateurs de Linux qui viennent de patcher dans le noyau une vulnérabilité vieille de 5 ans.
crédit photo © bloomua – shutterstock
Lire aussi :
Microsoft : les Patch Tuesday deviennent des guides de piratage de Windows XP
Patch Tuesday: Microsoft corrige encore IE pour Windows sauf XP
Diverses tendances animant l'univers des LLM transparaissent en filigrane du discours de Meta sur Llama…
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.