Une faille 0-day d’Internet Explorer non corrigée est dévoilée !
La Zero Day Initiative, spécialisée dans la recherche de faille au sein des logiciels, a levé le voile sur une faille zero day présente dans le navigateur Internet Explorer 8. Le plus inquiétant, c'est que Microsoft l'a connaît depuis le 11 Octobre 2013 mais n'a pas jugé utile de la corriger.
Le comportement de Microsoft devrait changer suite à cette annonce. En effet, la Zero Day Initiative dispose d'une règle très simple concernant la divulgation publique des failles découvertes : L'entreprise responsable de l'application concernée dispose de 180 jours pour corriger la vulnérabilité, une fois ce délai dépassé cette dernière sera exposée sur la toile.
C'est pour cela que l'on apprend aujourd'hui la présence de cette faille non corrigée dans Internet Explorer 8. Concernant la vulnérabilité en elle-même, elle se trouve dans l'élément CMarkup intégré au moteur de rendu MSHTML. Lorsqu'elle est exploitée, elle permet l'exécution de code arbitraire sur la machine infectée.
Microsoft justifie l'absence d'un patch par le fait que cette vulnérabilité n'avait jamais, jusque-là, été exploitée par des hackers. Désormais, les choses devraient puisqu'elle est connue du grand public. Un mal pour un bien.
Internet Explorer 8 est compatible avec Windows XP mais ce dernier n'étant plus supporté par Microsoft, il est peu probable qu'un correctif le concernant sorte.
