IE8 : Microsoft tarde à corriger une faille ?

Le par Jérôme G.  |  4 commentaire(s)
ie8logo1_1

Plus que ses concurrents, Microsoft semble tarder à combler une faille affectant Internet Explorer depuis deux ans.

ie8logo1_1En fin de semaine dernière, Microsoft a annoncé mener des investigations sur une divulgation publique concernant un problème de sécurité avec Internet Explorer. Cette information fait manifestement suite à la trouvaille de l'ingénieur en sécurité Chris Evans qui officie pour Google. Ce dernier a indiqué qu'il a découvert une " méchante " vulnérabilité dans Internet Explorer 8 et qu'il a été incapable de " persuader " Microsoft de fournir un correctif, alors même que la firme de Redmond serait au courant depuis au mois deux ans.

Comme Chris Evans est proche de Google, l'affaire qui a opposé un autre Googler à Microsoft s'affiche presqu'en toile de fond. Tavis Ormandy avait découvert une vulnérabilité dans le centre d'aide et support de Windows XP, et n'avait donné que cinq jours à Microsoft pour remédier au problème avant de procéder à une divulgation publique. Une attitude très critiquée par Microsoft qui a en horreur la divulgation publique et milite pour la divulgation coordonnée.

Selon Chris Evans, le bug dans IE8 permet à un site Web arbitraire de forcer un utilisateur à émettre des tweets. Ce n'est évidemment qu'un exemple qui peut s'appliquer à autre chose que Twitter et laisse supposer que l'exploit permet de voler les identifiants depuis une session de navigation déjà authentifiée.

C'est ce qu'explique Rick Fergusson de Trend Micro, tout en soulignant un point " embarrassant " selon lui pour Microsoft, à savoir que Opera, Chrome, Firefox et Safari ont déjà comblé une telle vulnérabilité.

Alors que l'on sent la volonté de critiquer Microsoft de la part de nos chercheurs en sécurité, on notera tout de même que la société Secunia a confirmé la vulnérabilité de Chris Evans dans IE6, 7 et 8 sous Windows XP SP3 mais lui a attribué un niveau de dangerosité peu critique.

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
Banzai万歳 offline Hors ligne Vétéran avatar 1526 points
Le #685561
C'est stupide de pas combler une faille de sécurité et surtout de répété la même erreur avec internet explorer 8 sorti il y a moins de 2ans.

Vivement qu'ils bougent + leurs cul chez Microsoft.
gandalf79 offline Hors ligne Vénéré icone 3674 points
Le #685691
Et sans oublier que IE9 nous réserve son petit lot de surprise au niveau des failles. Comme chacun sait à la sortie de IE9 M$ va nous vanter une meilleure sécurisation de son navigateur par rapport au précédent IE8. ça ne m'étonnerait pas que chez redmond on ait gardé sous le coude quelques vilaine faille pour servir la com de IE9. Et à la sortie de IE10 on s'apercevra que IE9 n'était pas si sécurisé que ça et rebelote.

Finalement si résume M$ vend de la sécurité sans avoir un échantillon sur lui. Du vent, du vent, et du vent... pour max de blé.
Luchy offline Hors ligne VIP icone 9182 points
Le #685921
gandalf79 >Digne d'un comptoir de bar.

Quand Firefox a une faille, c'est aussi pour que les nouvelles versions soient privilégiées ?
oldjohn offline Hors ligne VIP icone 7372 points
Le #687861
Rien de neuf du côté des linuxiens : Microsoft c'est pas bien, gna gna gna, mais nous avec Firefox on fait mieux. Au final, ca fait pas mieux, loin de là...
icone Suivre les commentaires
Poster un commentaire