Discussion :

[Michael Guilloux]

Zero Day Initiative : TippingPoint divulgue 4 vulnérabilités critiques dans Internet Explorer
Après le non-respect du délai de correction fixé à Microsoft

TippingPoint, le fondateur de la Zero Day Initiative (ZDI), vient de divulguer quatre vulnérabilités critiques dans Internet Explorer, après que Microsoft ait manqué de respecter le délai fixé pour développer des correctifs.

La ZDI est « un programme pour récompenser les chercheurs en sécurité pour les vulnérabilités divulguées de façon responsable », c’est-à-dire secrètement signalées au fournisseur du produit affecté. L’Initiative veille également à ce que les fournisseurs de logiciels publient des patchs pour les vulnérabilités qui leur sont signalées dans un délai de 120 jours.

Dans cette mission, Microsoft a été informé de 4 vulnérabilités zero-day critiques affectant Internet Explorer (IE), y compris la version mobile sur Windows Phone. Les vulnérabilités ZDI-15-359, 360, 361 et 362 permettent à des attaquants d’exécuter du code à distance sur les installations vulnérables d’Internet Explorer. TippingPoint explique sur son blog que l’interaction de l’utilisateur est nécessaire pour exploiter ces vulnérabilités, dans la mesure où ce dernier doit visiter une page piégée et ouvrir un fichier malveillant.

La vulnérabilité ZDI-15-359 a été révélée en novembre dernier lors de l’évènement Mobile Pwn2Own. Avec un score CVSS de 7.5 sur 10, elle « concerne la façon dont Internet Explorer traite les tableaux représentant les cellules dans les tables HTML », explique TippingPoint. En manipulant les éléments d'un document, un attaquant pourrait - en exploitant cette vulnérabilité - forcer IE à utiliser de la mémoire après la fin d’un tableau de cellules HTML.

Une autre vulnérabilité (ZDI-15-360) se situe au niveau de la manipulation d'objets CAttrArray. Elle peut permettre à un attaquant de forcer un pointeur à être réutilisé après qu'il ait été libéré, pour exécuter du code à distance. Elle a été signalée à Microsoft en janvier et son score CVSS est de 6.8.

La troisième vulnérabilité ZDI-15-361 a également un score CVSS de 6.8 et peut permettre à un attaquant de forcer un pointeur à être réutilisé après qu'il ait été libéré, en manipulant les éléments d’un document. La faille spécifique se situe au niveau de la manipulation d’objets CCurrentStyle. Elle a aussi été rapportée à Microsoft en janvier dernier.

Comme les deux dernières, la vulnérabilité ZDI-15-362 a été rapportée à Microsoft en janvier. Avec un score CVSS de 6.8, la faille spécifique existe au sein de la manipulation d'objets CTreePos. Elle permet également à un attaquant de forcer un pointeur à être réutilisé après qu’il ait été libéré, en manipulant les éléments d’un document. Le fondateur de la ZDI explique qu’un attaquant « peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus actuel ».

D’après Wolfgang Kandek, CTO de la firme de sécurité Qualys, il n'y a pas beaucoup que vous puissiez faire pour le moment pour vous protéger de ces vulnérabilités si ce n’est de s’abstenir d'utiliser IE. Par contre, comme mesure de mitigation, TippingPoint suggère de « configurer Internet Explorer de sorte à ce qu’il nous avertisse avant d’exécuter Active Scripting ou désactiver Active Scripting dans la zone de sécurité Internet et Intranet local ».

Sources : blog Qualys, vulnérabilités ZDI-15-359, 360, 361, 362

Et vous ?

Qu’en pensez-vous ? Microsoft serait-il en train d'abandonner le support d'IE ?

[supergeoffrey]

Qu’en pensez-vous ? Microsoft serait-il en train d'abandonner le support d'IE ?

Non. Il faudra toujours un IE de pré-installé sur un windows, pour télécharger un FF ou un GC.

Pour moi le problème c'est que le bug a été divulgué secrètement.
Finalement tant que personne exploite la faille. On ne la corrige pas.
Et tant qu'une faille de sécurité n'est pas corrigé plus que Windows est performant.

[MichaelREMY]

Pour moi le problème c'est que le bug a été divulgué secrètement. Finalement tant que personne exploite la faille. On ne la corrige pas.

vous avez une étrange façon de voir les choses et les responsabilités.

Si je vous suis, quand il y a une entrée "hasardeuse" dans votre maison et que vous vous en fichiez ou l'ignoriez , il faudrait dans ce cas le publier dans le journal local pour avertir tout le monde ?
Vous préférez voir venir 1000 cambrioleurs avant d'entamer les travaux chez vous !

[tchize_]

La différence c'est que tu ne corrige pas une entrée hasardeuse dans ta maison mais dans celle de tes clients.

[MichaelREMY]

La différence c'est que tu ne corrige pas une entrée hasardeuse dans ta maison mais dans celle de tes clients.

De ce point de vue-là, c'est pire.
Car tu es promoteur, tu a vendu des maisons bâties par des constructeurs que tu as choisi. Et tu veux crier partout sur les toits que les maisons de tes clients ne sont pas sécurisées pour forcer le constructeur à venir les calfeutrer.

La solution d'aller voir discrètement le constructeur et l'avertir de l'imperfection et qu'il y a un besoin urgent de correction me semble la meilleure.
Après charge à toi, de dire à tes clients, avant la vente et au moment que le produit n'est pas complétement sécurisé (ou l'est) au moment X, mais qu'il se peut qu'il ne le soit plus après.