Rustines de Microsoft : Internet Explorer et le full disclosure de l'ingénieur Google

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Rustines de Microsoft : Internet Explorer et le full disclosure de l'ingénieur Google

Publié le 05 juillet 2013 à 11:50 par Jérôme G.

Lire sur mobile

Microsoft va combler des vulnérabilités de sécurité critiques dans Windows et Internet Explorer. La vulnérabilité divulguée publiquement par un ingénieur Google sera également corrigée.

La semaine prochaine, Microsoft va livrer son Patch Tuesday du mois de juillet. Au programme, sept bulletins de sécurité dont six critiques. Un bulletin important sera à destination de Windows Defender pour Windows 7.

Les six mises à jour critiques viseront Windows, Internet Explorer, Silverlight, .NET Framework et l'interface GDI+ ( Graphics Device Interface ). A priori, une mise à jour à déployer en priorité devrait être celle pour Internet Explorer. Les attaques via les navigateurs ont en effet la cote. De Windows XP à Windows 8, toutes les versions d'Internet Explorer allant de IE6 à IE10 sont concernées.

Microsoft souligne par ailleurs que les bulletins critiques intégreront une mise à jour pour la correction de la vulnérabilité divulguée publiquement par Tavis Ormandy. Ce full disclosure par celui qui est aussi un ingénieur Google remonte à la mi-mai.

La faille se situe au niveau du noyau Windows ( win32k.sys ) et son exploitation permet une élévation de privilèges. Toutefois, elle n'est pas exploitable à distance.

Tavis Ormandy a reproché à Microsoft de traiter les chercheurs de vulnérabilités avec " une grande hostilité ", ajoutant qu'il est " difficile de travailler " avec la firme de Redmond. Un point de vue que d'autres chercheurs ne partagent pas.

Depuis cette affaire, Microsoft a lancé des programmes de récompenses pour la découverte et le rapport de vulnérabilités affectant la préversion d'Internet Explorer 11 et Windows 8.1.