Microsoft : une faille critique dans Explorer 8 vieille de 7 mois !

Microsoft : une faille critique dans Explorer 8 vieille de 7 mois !

Une faille Zero Day aurait été découverte sur la version 8 d’Internet Explorer depuis 7 mois déjà et Microsoft n’aurait toujours pas publié de correctif. Une équipe de chercheurs de ZDI dévoile cette faille de sécurité critique auprès du grand public après avoir alerté Microsoft à maintes reprises.

Publié le 22 mai 2014 - 16:13 par François Giraud

Microsoft a lancé une alerte fin avril 2014 sur une vulnérabilité qui serait liée à une erreur de gestion de certains objets en mémoire et qui concernait les versions 6 à 11 d’Internet Explorer. On apprend aujourd’hui que la firme de Redmond n’a toujours pas proposé de patch pour une faille Zero-Day découverte sur IE 8 il y a plus de 7 mois. D’autant plus, que cette faille de sécurité critique permet à un utilisateur distant d’installer un malware sur un ordinateur et de piloter ce dernier à votre insu. L’association Zero Day Initiative qui organise le concours « Pwn2own » sur la sécurité IT a découvert cette faille au mois d’octobre 2013 et a bien évidemment alerté Microsoft. Mais Microsoft n’a pas donné de réponse, ni proposé de patch, préférant renforcer les paramètres de sécurité d’IE 8.

20% des utilisateurs navigueraient encore sur le Web via Internet Explorer

Microsoft aurait fait la « sourde oreille ». En vain, l’association ZDI a publié cette faille Zero Day, datant de 7 mois maintenant afin de faire réagir Microsoft au plus vite. L’association ZDI applique une politique simple. Pendant une période de 180 jours, les failles découvertes sont échangées en toute confidentialité avec les éditeurs de logiciels afin qu’ils puissent proposer des correctifs au plus vite. Passé ce délai, ZDI peut publier la faille concernée sur la Toile. C’est ce qu’il vient de se produire avec cette faille, vieille de plus de 7 mois. ZDI précise que cette faille de sécurité critique permet à des hackers d’exécuter à distance du code arbitraire sur des systèmes vulnérables. Cette faille est de type « user-after-free », utilisation après libération dans CMakup du moteur MSHTML. L’indice de cette vulnérabilité est de 6,8 sur une échelle de 10. Pour l’instant, Redmond recommande aux utilisateurs d’IE 8 de paramétrer leur niveau de sécurité au niveau le plus élevée et d’installer sa rustine proposée depuis début mai 2014 pour les versions 6 à 11 d’Internet Explorer.

Advertisements

Ailleurs sur le web





  • djelme

    Bah c’est toujours mieux que la dernière recensée sur minux et qui avait 5 ans d’ancienneté….