Affectant l'interpréteur en ligne de commande Bash présent sur les systèmes Linux, UNIX et OS X, la vulnérabilité baptisée Shellshock existait depuis au moins 20 ans avant sa découverte. Une vulnérabilité dans Windows était presqu'aussi ancienne.
Dans le cadre de son Patch Tuesday de novembre, Microsoft a diffusé une mise à jour critique MS14-064 venant combler de manière plus complète une vulnérabilité exploitée dans l'attaque SandWorm. Cette mise à jour pour Windows a également corrigé un autre bug quand Internet Explorer n'accède pas correctement aux objets en mémoire.
Cette vieille vulnérabilité était présente dans le fichier OleAut32 en référence aux objets OLE (Object Linking and Embedding). Une bibliothèque logicielle qui a pourtant connu plusieurs patchs au fil des années.
C'est avec l'intégration de VBScript dans Internet Explorer (depuis IE 3.0) que ce navigateur est devenu un possible vecteur d'attaque pour une exploitation à distance. Le risque existe également avec des fichiers Office contenant des macros.
IBM X-Force écrit que le bug peut être exploité pour attaques drive-by (sans l'intervention de la victime) afin d'exécuter du code à distance et prendre le contrôle de la machine d'un utilisateur pris pour cible. Même la protection sandbox dans IE11 et l'outil anti-exploitation EMET (Enhanced Mitigation Experience Toolkit) sont pris à défaut.
Ladite vulnérabilité a été rapportée de manière confidentielle à Microsoft en mai 2014. IBM X-Force Research n'a trouvé aucune preuve d'une exploitation active. Maintenant que la vulnérabilité a été dévoilée, il va sans dire que la situation est différente et l'application de la mise à jour MS14-064 est d'autant plus recommandée.
Une correction à laquelle n'aura pas droit Windows XP dont le support à pris fin en début d'année.
