La société Vupen détenait une faille dans IE depuis 3 ans !
La société Française Vupen - spécialisée dans la sécurité – a déclarée qu’elle contenait des informations sur une vulnérabilité sérieuse au sein d’Internet Explorer depuis 3 ans, avant de la révéler à la compétition de hacking « Pwn2Own » qui a eu lieu en Mars dernier.
Cette faille de sécurité Zero-Day affecte les versions suivantes d’IE : 8, 9, 10 et 11. Elle autorise un attaquant d’outrepasser à distance la sandbox* du mode protégé du navigateur, ce qui permettra de gagner une élévation de privilèges.
Pour être plus précis, la société Vupen avait découverte cette vulnérabilité le 12 Février 2011. Elle fût corrigée lors du dernier Patch de mise à jour publié par Microsoft et elle est référencer sous CVE-2014-277.
Ce qui donne l’historique suivant :
- 12 Février 2011 : Vupen découvre la faille
- 13 Mars 2014 : Vupen remonte l’information à Microsoft
- 11 Juin 2014 : Microsoft déploie un correctif
La société précise : « La vulnérabilité est dû à la mauvaise manipulation d’une séquence d’actions ayant pour but de sauvegarder un fichier lors de l’appel de la fonction ShowSaveFileDialog(), qui peut être exploitée par un processus « sandboxé » afin d’écrire des fichiers dans des locations arbitraires sur le système et d’outrepasser le mode de protection d’IE ».
*Sandbox : Mécanisme de sécurité utilisé pour exécuter une application au sein d’un environnement restreint et cloisonné du système d’exploitation. Ce qui permet d’éviter qu’un code malveillant affecte directement le système d’exploitation.
Y’a encore des gens qui utilisent IE ?
Oui oui, notamment en entreprise où cela est plus facile de le configurer/utiliser au sein d’un environnement Microsoft. Personnellement, il m’arrive de l’utiliser en tant que navigateur secondaire et je trouve que la dernière version n’est pas mauvaise 🙂