Microsoft a plus ou moins fait la sourde oreille au rapport de vulnérabilité que lui avait communiqué le 11 octobre dernier par l'initiative Zero Day de HP, notamment connue pour être derrière le concours de hacking Pwn2Own. Cette initiative a été mise en place afin de récompenser les chercheurs en sécurité informatique pour la divulgation responsable de vulnérabilités.
La politique de ZDI est que pendant une période de 180 jours, les vulnérabilités mises au jour sont échangées de manière confidentielle avec les éditeurs de logiciels concernés. Un délai qui est arrivé à expiration pour une vulnérabilité affectant Internet Explorer 8, sans que Microsoft ne propose de correctif.
ZDI vient ainsi de passer à la divulgation publique pour cette vulnérabilité qui touche la version d'Internet Explorer dont on soulignera qu'il s'agit de la dernière compatible avec Windows XP qui ne bénéficie plus de support de la part de Microsoft.
Microsoft avait confirmé la reproduction de la vulnérabilité en février. Selon ZDI, elle permet à des attaquants distants d'exécuter du code arbitraire sur des systèmes vulnérables. Pour l'exploitation, l'interaction de l'utilisateur est nécessaire dans la mesure où il doit consulter une page Web malveillante spécialement conçue ou ouvrir un fichier malveillant.
La vulnérabilité est de type utilisation après libération ( use-after-free ) dans l'élément CMarkup du moteur de rendu ( MSHTML ). Le score CVSS - Common Vulnerability Scoring System - de la vulnérabilité est de 6,8. Il ne s'agit alors pas de la dangerosité maximale de 10 calculée pour une vulnérabilité qui peut être facilement exploitable à distance et sans authentification.
Pour justifier l'absence d'un patch, un porte-parole de Microsoft a déclaré à CNET qu'aucun exploit n'a été observé. Évidemment, la donne va changer avec la divulgation publique. La firme de Redmond recommande aux utilisateurs d'Internet Explorer 8 de mettre à Haut le paramètre de zone de sécurité Internet afin de bloquer les contrôles ActiveX et l'Active Scripting, ou encore d'installer l'outil EMET ( Enhanced Mitigation Experience Toolkit ).
Et oui... pour les utilisateurs encore sous Windows XP : optez pour un navigateur autre qu'Internet Explorer.