Une nouvelle faille zero day d'Internet Explorer dévoilée publiquement

La Zero Day Initiative vient de lever le voile sur une faille zero day présente au sein d'Internet Explorer 8. Détail d'importance : elle est connue de Microsoft depuis octobre 2013, mais l'entreprise n'avait pas jugé utile de la corriger.

Spécialisée dans la recherche de faille au sein des logiciels, la Zero Day Initiative dispose d'une règle concernant la divulgation publique des problèmes rencontrés : l'entreprise concernée a 180 jours pour corriger la vulnérabilité, sans quoi la ZDI l'expose sur la Toile. C'est justement ce qui vient d'arriver avec une faille zero day présente au sein d'Internet Explorer 8 : alerté du problème le 11 octobre 2013, Microsoft n'a pas proposé, depuis, de correctif via ses Patch Tuesday. Aujourd'hui, la vulnérabilité en question est devenue publique.

La faille se trouve au sein de l'élément CMarkup, dans le moteur de rendu MSHTML. En exploitant cette vulnérabilité, les pirates peuvent exécuter du code arbitraire, en vue de détourner l'usage de la machine infectée. Comme souvent, l'exploitation de cette faille nécessite une intervention de l'utilisateur, qui peut contaminer son PC en cliquant sur un lien ou en ouvrant un document infecté.

Microsoft justifie l'absence de correctif par le fait que cette vulnérabilité n'avait jamais, jusque-là, été exploitée par des pirates. Mais maintenant qu'elle est connue d'un large public, la situation va probablement changer, et va donc pousser l'entreprise a faire le nécessaire pour colmater la brèche. Néanmoins, il y a de fortes possibilités pour que Microsoft ne corrige pas le problème sur Windows XP, malgré le fait qu'IE 8 tourne sur cet OS, puisque son support a pris fin le 8 avril dernier. Si l'entreprise avait pris les mesures nécessaires vis-à-vis de cette faille lorsqu'elle en a eu connaissance l'année dernière, Windows XP aurait pu bénéficier légitimement d'un correctif.