ie8logo1_1 En fin de semaine dernière, Microsoft a annoncé mener des investigations sur une divulgation publique concernant un problème de sécurité avec Internet Explorer. Cette information fait manifestement suite à la trouvaille de l'ingénieur en sécurité Chris Evans qui officie pour Google. Ce dernier a indiqué qu'il a découvert une " méchante " vulnérabilité dans Internet Explorer 8 et qu'il a été incapable de " persuader " Microsoft de fournir un correctif, alors même que la firme de Redmond serait au courant depuis au mois deux ans.

Comme Chris Evans est proche de Google, l'affaire qui a opposé un autre Googler à Microsoft s'affiche presqu'en toile de fond. Tavis Ormandy avait découvert une vulnérabilité dans le centre d'aide et support de Windows XP, et n'avait donné que cinq jours à Microsoft pour remédier au problème avant de procéder à une divulgation publique. Une attitude très critiquée par Microsoft qui a en horreur la divulgation publique et milite pour la divulgation coordonnée.

Selon Chris Evans, le bug dans IE8 permet à un site Web arbitraire de forcer un utilisateur à émettre des tweets. Ce n'est évidemment qu'un exemple qui peut s'appliquer à autre chose que Twitter et laisse supposer que l'exploit permet de voler les identifiants depuis une session de navigation déjà authentifiée.

C'est ce qu'explique Rick Fergusson de Trend Micro, tout en soulignant un point " embarrassant " selon lui pour Microsoft, à savoir que Opera, Chrome, Firefox et Safari ont déjà comblé une telle vulnérabilité.

Alors que l'on sent la volonté de critiquer Microsoft de la part de nos chercheurs en sécurité, on notera tout de même que la société Secunia a confirmé la vulnérabilité de Chris Evans dans IE6, 7 et 8 sous Windows XP SP3 mais lui a attribué un niveau de dangerosité peu critique.