Pour rappel, L’ASLR est en principe utilisé pour limiter les attaques de type dépassement de mémoire en distribuant de manière aléatoire l’espace d’adressage. Il a été introduit dans IE afin de rendre difficile la détection de l’adresse mémoire. Toutefois, les recherches d’HP ont démontré qu’en attaquant la protection mémoire de la version 32 bits d’Internet Explorer, il est possible d’utiliser ce dernier pour déterminer l’adresse à partir de laquelle un module sera chargé.
HP affirme qu’elle se voit contrainte de publier cette faille alors qu’un correctif n’est pas encore disponible parce que Microsoft serait informée du problème depuis plusieurs semaines. La firme aurait d’ailleurs donné une récompense de 120 000 dollars aux chercheurs de HP pour la découverte de la faille, dont cette dernière aurait fait mention en février dernier.
« L’annonce de février est intervenue après que le délai de divulgation de 120 jours soit passé, mais à cette période, nous n’avons pas révélé plus de détails dans les meilleurs intérêts de l’écosystème dans son ensemble. En d’autres termes, Microsoft n’avait pas encore corrigé tous les bugs et nous avons voulu leur donner un peu plus de temps. Nous avons travaillé dans l’hypothèse qu’un correctif pour le dysfonctionnement était en cours d’élaboration. Malheureusement, Microsoft a informé l’équipe qu’une solution complète n’était pas à venir », explique HP.
Deux raisons principales sont avancées par Microsoft. Premièrement, la firme estime que les versions 64 bits d’Internet Explorer bénéficient d’un espace d’adresse beaucoup plus large que la version 32 bits du navigateur. De même, elle souligne que « ces problèmes n’ont pas d’impact sur la configuration par défaut d’Internet Explorer ». Deuxièmement, la firme de Redmond explique qu’il existe des atténuations avec les récents travaux pour la protection mémoire. Mais les recherches de HP démontrent que l’exploit fonctionne sur les versions 32 bits de Windows 7 et 8.1.
« Puisque Microsoft a confirmé en correspondance avec nous qu’ils ne prévoient pas prendre de mesure par rapport à ces recherches, nous avons trouvé nécessaire de fournir ces informations au public. Nous le faisons en conformité avec les termes de notre propre programme de divulgation des failles zero day », explique HP.
Enfin, HP affirme que son unique objectif est de protéger les utilisateurs, en permettant à ceux-ci d’être informés du problème et de prendre les mesures nécessaires.
Source : Blog HP
Et vous ?
Que pensez-vous de la décision de Microsoft ?
Que pensez-vous de l’attitude d’HP en dévoilant cette faille ?