On connaissait le patch qui ne corrigeait rien, voici le tour du correctif inexistant. L’affaire remonte à octobre 2013, l’association Zero Day Initiative (ZDI) soutenue par TippingPoint de HP et organisatrice du célèbre concours de hacking Pwn2own, découvre une faille Zero Day (principalement Peter Van Eeckhoutte de l’équipe Corelan) dans la version 8 d’Internet Explorer (qui fonctionne notamment sous Windows XP). La vulnérabilité est localisée dans l’objet CMarkup de la bibliothèque MSHTML (moteur de rendu). Selon l’association, un attaquant peut profiter de ce bug pour exécuter du code arbitraire en réorientant l’utilisateur vers un site compromis ou par l’ouverture d’un document corrompu.
Microsoft a été averti de la découverte de cette faille, mais n’a pas réagi dans un premier temps. L’association ZDI a donc réitéré sa demande auprès de l’éditeur, mais en vain. Selon la politique de ZDI, un délai de 180 jours a été accordé à l’éditeur pour qu’il puisse corriger la vulnérabilité. Devant l’absence de réponse, ZDI a donc rendu public cette faille Zero Day qui date maintenant de 7 mois.
La firme de Redmond n’a pas été complètement mutique dans cette affaire. Au lieu d’un correctif, Microsoft a choisi de renforcer les paramètres de sécurité d’IE8 pour bloquer et alerter sur l’utilisation d’ActiveX Control et d’Active Scripting. Il préconise aussi l’installation de son outil d’atténuation, EMET (Enhanced Mitigation Experience Toolkit).
Il s’agit de la deuxième faille Zero Day trouvée dans Internet Explorer en deux mois. Au mois d’avril dernier, Microsoft avait lancé une alerte de sécurité et émis un correctif en urgence (en dehors du traditionnel Patch Tuesday). Pour cette deuxième faille, l’éditeur attend peut-être le prochain Patch Tuesday pour la corriger. Il mettra certainement moins de temps que les administrateurs de Linux qui viennent de patcher dans le noyau une vulnérabilité vieille de 5 ans.
crédit photo © bloomua – shutterstock
Lire aussi :
Microsoft : les Patch Tuesday deviennent des guides de piratage de Windows XP
Patch Tuesday: Microsoft corrige encore IE pour Windows sauf XP
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.