Internet Explorer : une 0-day non corrigée depuis sept mois

Le par  |  4 commentaire(s)
ie8logo2

ZDI passe à la divulgation publique après avoir alerté Microsoft en octobre dernier d'une vulnérabilité 0-day affectant Internet Explorer 8.

Microsoft a plus ou moins fait la sourde oreille au rapport de vulnérabilité que lui avait communiqué le 11 octobre dernier par l'initiative Zero Day de HP, notamment connue pour être derrière le concours de hacking Pwn2Own. Cette initiative a été mise en place afin de récompenser les chercheurs en sécurité informatique pour la divulgation responsable de vulnérabilités.

IE8La politique de ZDI est que pendant une période de 180 jours, les vulnérabilités mises au jour sont échangées de manière confidentielle avec les éditeurs de logiciels concernés. Un délai qui est arrivé à expiration pour une vulnérabilité affectant Internet Explorer 8, sans que Microsoft ne propose de correctif.

ZDI vient ainsi de passer à la divulgation publique pour cette vulnérabilité qui touche la version d'Internet Explorer dont on soulignera qu'il s'agit de la dernière compatible avec Windows XP qui ne bénéficie plus de support de la part de Microsoft.

Microsoft avait confirmé la reproduction de la vulnérabilité en février. Selon ZDI, elle permet à des attaquants distants d'exécuter du code arbitraire sur des systèmes vulnérables. Pour l'exploitation, l'interaction de l'utilisateur est nécessaire dans la mesure où il doit consulter une page Web malveillante spécialement conçue ou ouvrir un fichier malveillant.

La vulnérabilité est de type utilisation après libération ( use-after-free ) dans l'élément CMarkup du moteur de rendu ( MSHTML ). Le score CVSS - Common Vulnerability Scoring System - de la vulnérabilité est de 6,8. Il ne s'agit alors pas de la dangerosité maximale de 10 calculée pour une vulnérabilité qui peut être facilement exploitable à distance et sans authentification.

Pour justifier l'absence d'un patch, un porte-parole de Microsoft a déclaré à CNET qu'aucun exploit n'a été observé. Évidemment, la donne va changer avec la divulgation publique. La firme de Redmond recommande aux utilisateurs d'Internet Explorer 8 de mettre à Haut le paramètre de zone de sécurité Internet afin de bloquer les contrôles ActiveX et l'Active Scripting, ou encore d'installer l'outil EMET ( Enhanced Mitigation Experience Toolkit ).

Et oui... pour les utilisateurs encore sous Windows XP : optez pour un navigateur autre qu'Internet Explorer.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1748652
ahh le code proprio... c est genial !
Le #1749022
Faut plus qu'utiliser un autre navigateur, il faut aussi bloquer avec des droits administrateurs tout ce qui touche Internet Explorer.

Mais, la plupart utilise un 2e comptes mais il est par défaut Administrateur.
Et tu ne peut même pas cocher limité quand t'es le Super_Administrateur,
il faut aller dans les configurations plus avancées et supprimer Administrateur
dans les comptes utilisateurs. Tout bloquer quand t'es dans le grand compte
Super_Administrateur. Supprimer les permissions d'exécution du répertoire
Internet Explorer et aussi celui IE8 de Windows.


Le #1749452
...ou virer simplement IE pour regler tous ses problemes d'un coup !
Le #1759142
Pikaboy a écrit :

...ou virer simplement IE pour regler tous ses problemes d'un coup !


Internet Explorer est implanté dans le OS, il faudra un utilitaire tiers pour supprimer ce navigateur et les composantes. Puisque Add/Rem programme (composante windows) n'est pas suffisant.

Je dirais que le fais de bloquer tous les comptes (SYSTEM inclu) les deux répertoires
en étant sous l'utilisateur SYSTEM (Administrateur aussi) fait un excellent travail.

De toute manière, en réorganisant le fonctionnement de l'OS, genre considéré que le
lecteur C: est un lecteur système et utiliser des applications portable dans un bac à
sable dans un autre lecteur. Et d'appliquer Deepfreeze sur le lecteur C: ça aide pas
mal. Genre utiliser Firefox dans un bac à sable comme sandboxie.

Internet Explorer ne peut pas être exécuté d'aucune manière.

Il faut aussi utiliser un programme qui s'appelle "Default Browser" pour détourner
l'ouverture par défaut d'Internet Explorer via une application quelconque. L'option
du navigateur par défaut n'est pas suffisante dans option internet.


Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]