Nouvelle vulnérabilité critique découverte dans Internet Explorer
Avec cross_fuzz, l'outil de sécurité développé par un ingénieur de Google

Le , par Idelways, Expert éminent sénior
Un bug critique d'Internet Explorer a été découvert et des détails sur son exploitation ont été accidentellement divulgués sur Internet. Problème, des pirates chinois auraient consultés ces informations sensibles.

Ce bug fait partie de la longue liste d'une centaine de nouvelles vulnérabilités découvertes grâce à cross_fuzz, un nouvel outil développé par le chercheur Michal Zalewski, travaillant chez Google.
Cette liste concerne aussi bien IE que les autres navigateurs majeurs, y compris Chrome et Safari, tous les deux fondés sur Webkit.

Un développeur de Webkit, qui collabore avec Zalewski, a publié accidentellement un rapport qui contient des liens vers le dossier où étaient stockés cross_fuzz et les détails des autres bugs généré par l'outil.

Ironiquement, les bots de Google n'ont pas raté ces liens et ont ajouté ces fichiers à l'index du moteur de recherche, rendant publiques des informations hautement sensibles, notamment sur le nouveau bug critique d'Internet Explorer

Tous comme les bots, des pirates chinois n'ont manifestement pas raté cette bourde puisque Zalewski se désole d'avoir enregistré des consultations de ces informations depuis une adresse IP localisée en Chine.

Bien que l'outil de recherche de vulnérabilités n'ait pas été téléchargé, un pirate chinois aurait lancé par la suite des recherches pointues sur les fonctions de MSHTML.DLL en relations directe avec la nouvelle faille critique d'Internet Explorer décrite dans le rapport des deux chercheurs.

Ce qui laisse croire que ce pirate (qui a par ailleurs rapatrié tous les autres rapports de bugs) connaissait déjà cette faille, ou du moins suspectait son existence selon Zalewski.

Devant cette situation, l'employé de Google s'est résigné à rendre son outil public, et ce avant même que Microsoft n'ait patché cette vulnérabilité.

Zalewski aurait même décliné la demande de Microsoft de reporter cette publication de peur que les pirates chinois ne soient déjà en mesure de l'exploiter. Pour sa défense, il affirme dans l'annonce qui accompagne la mise à disposition de cross_fuzz, qu'il avait notifié la présence de ce bug à Microsoft dès juillet 2010.

Microsoft aurait bien accusé réception de son message, mais sans donner d'autres signes de vie jusqu'en décembre. Pour demander le report de la publication de l'outil, donc.

Une situation qui n'est pas sans rappeler l'affaire Ormandy qui avait fait couler beaucoup d'encre et relancé le débat sur l'éthique des chercheurs en sécurité.

En attendant d'en savoir d'avantage, il semble que les experts de Microsoft et ceux de Google aient encore du mal à collaborer.

Source : le message de Zalewski, l'annonce de la sortie cross_fuzz

Et vous ?

Que pensez-vous de cette affaire ?

En collaboration avec Gordon Fowler


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de gillai gillai - Membre averti https://www.developpez.com
le 03/01/2011 à 16:36
Devant cette situation, l'employé de Google s'est résigné à rendre son outil public, et ce avant même que Microsoft n'ait patché cette vulnérabilité.

Zalewski aurait même décliné la demande de Microsoft de reporter cette publication de peur que les pirates chinois ne soient déjà en mesure de l'exploiter. Pour sa défense, il affirme dans l'annonce qui accompagne la mise à disposition de cross_fuzz, qu'il avait notifié la présence de ce bug à Microsoft dès juillet 2010.

Microsoft aurait bien accusé réception de son message, mais sans donner d'autres signes de vie jusqu'en décembre. Pour demander le report de la publication de l'outil, donc.

Zalewski a eu raison de décliner alors que Microsoft a eu 6 mois pour corriger ça. Là encore, et c'est dommage, on voit qu'on attend la dernière minute pour corriger des problèmes (ici c'est Microsoft mais ce n'est pas la seule société à le faire).
Avatar de Philippe Bastiani Philippe Bastiani - Membre éprouvé https://www.developpez.com
le 05/01/2011 à 14:59
Citation Envoyé par hivenz  Voir le message
Zalewski a eu raison de décliner alors que Microsoft a eu 6 mois pour corriger ça. Là encore, et c'est dommage, on voit qu'on attend la dernière minute pour corriger des problèmes (ici c'est Microsoft mais ce n'est pas la seule société à le faire).

Laisser une faille dans la nature est certes très dangereux... mais divulguer cette même faille est, IMHO, inconsidéré : imagines que cette faille soit exploitée... tu crois que les victimes iront féliciter Zalewski de sa découverte ?

Question: est-ce que Zalewski aurait eu autant de zèle si le problème concernait Google ?
Avatar de spawntux spawntux - Membre confirmé https://www.developpez.com
le 05/01/2011 à 17:53
Le full disclo c'est le bien,
Combien de fois et de temps les societé ont etait prevenue ?
Bien souvent elle se donne meme pas la peine de repondre au mec qui les previens meme sans la corriger un petite demande si le mec veut bien patienter ca coute rien.

Donc oui il a eu raison c'est comme les vuln microsoft qui traine depuis 6 ans tu trouves ca normal ?
Avatar de Philippe Bastiani Philippe Bastiani - Membre éprouvé https://www.developpez.com
le 05/01/2011 à 19:35
Citation Envoyé par spawntux  Voir le message
Donc oui il a eu raison c'est comme les vuln microsoft qui traine depuis 6 ans tu trouves ca normal ?

NON 6ans voire même seulement 6 mois ce n'est pas normal...

Mais une faille divulguée augmente la probabilité que celle-ci soit exploitée... en tant qu'utilisateur, je préfère que la description des failles ne soit pas offerte à la communauté des hackers (dont certains ne sont pas que des bidouilleurs) ! Je suis conscient que le système que j'utilise est imparfait mais je ne souhaite pas devenir une victime potentielle suite à divulgation d'une telle info...
Offres d'emploi IT
Consultant junior AMOA H/F
EXPERIS IT - Ile de France - Paris (75000)
Développeur android expérimenté H/F
Centile - Provence Alpes Côte d'Azur - 06410 Biot Sophia-Antipolis
Ingénieur dev java/angular js
ONE2TEAM - Ile de France - Neuilly-sur-Seine (92200)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil