IE8 : Microsoft tarde à corriger une faille ?

Le par  |  4 commentaire(s)
ie8logo1_1

Plus que ses concurrents, Microsoft semble tarder à combler une faille affectant Internet Explorer depuis deux ans.

ie8logo1_1En fin de semaine dernière, Microsoft a annoncé mener des investigations sur une divulgation publique concernant un problème de sécurité avec Internet Explorer. Cette information fait manifestement suite à la trouvaille de l'ingénieur en sécurité Chris Evans qui officie pour Google. Ce dernier a indiqué qu'il a découvert une " méchante " vulnérabilité dans Internet Explorer 8 et qu'il a été incapable de " persuader " Microsoft de fournir un correctif, alors même que la firme de Redmond serait au courant depuis au mois deux ans.

Comme Chris Evans est proche de Google, l'affaire qui a opposé un autre Googler à Microsoft s'affiche presqu'en toile de fond. Tavis Ormandy avait découvert une vulnérabilité dans le centre d'aide et support de Windows XP, et n'avait donné que cinq jours à Microsoft pour remédier au problème avant de procéder à une divulgation publique. Une attitude très critiquée par Microsoft qui a en horreur la divulgation publique et milite pour la divulgation coordonnée.

Selon Chris Evans, le bug dans IE8 permet à un site Web arbitraire de forcer un utilisateur à émettre des tweets. Ce n'est évidemment qu'un exemple qui peut s'appliquer à autre chose que Twitter et laisse supposer que l'exploit permet de voler les identifiants depuis une session de navigation déjà authentifiée.

C'est ce qu'explique Rick Fergusson de Trend Micro, tout en soulignant un point " embarrassant " selon lui pour Microsoft, à savoir que Opera, Chrome, Firefox et Safari ont déjà comblé une telle vulnérabilité.

Alors que l'on sent la volonté de critiquer Microsoft de la part de nos chercheurs en sécurité, on notera tout de même que la société Secunia a confirmé la vulnérabilité de Chris Evans dans IE6, 7 et 8 sous Windows XP SP3 mais lui a attribué un niveau de dangerosité peu critique.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #685561
C'est stupide de pas combler une faille de sécurité et surtout de répété la même erreur avec internet explorer 8 sorti il y a moins de 2ans.

Vivement qu'ils bougent + leurs cul chez Microsoft.
Le #685691
Et sans oublier que IE9 nous réserve son petit lot de surprise au niveau des failles. Comme chacun sait à la sortie de IE9 M$ va nous vanter une meilleure sécurisation de son navigateur par rapport au précédent IE8. ça ne m'étonnerait pas que chez redmond on ait gardé sous le coude quelques vilaine faille pour servir la com de IE9. Et à la sortie de IE10 on s'apercevra que IE9 n'était pas si sécurisé que ça et rebelote.

Finalement si résume M$ vend de la sécurité sans avoir un échantillon sur lui. Du vent, du vent, et du vent... pour max de blé.
Le #685921
gandalf79 >Digne d'un comptoir de bar.

Quand Firefox a une faille, c'est aussi pour que les nouvelles versions soient privilégiées ?
Le #687861
Rien de neuf du côté des linuxiens : Microsoft c'est pas bien, gna gna gna, mais nous avec Firefox on fait mieux. Au final, ca fait pas mieux, loin de là...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]