TippingPoint, le fondateur de la Zero Day Initiative (ZDI), vient de divulguer quatre vulnérabilités critiques dans Internet Explorer, après que Microsoft ait manqué de respecter le délai fixé pour développer des correctifs.
La ZDI est « un programme pour récompenser les chercheurs en sécurité pour les vulnérabilités divulguées de façon responsable », c’est-à-dire secrètement signalées au fournisseur du produit affecté. L’Initiative veille également à ce que les fournisseurs de logiciels publient des patchs pour les vulnérabilités qui leur sont signalées dans un délai de 120 jours.
Dans cette mission, Microsoft a été informé de 4 vulnérabilités zero-day critiques affectant Internet Explorer (IE), y compris la version mobile sur Windows Phone. Les vulnérabilités ZDI-15-359, 360, 361 et 362 permettent à des attaquants d’exécuter du code à distance sur les installations vulnérables d’Internet Explorer. TippingPoint explique sur son blog que l’interaction de l’utilisateur est nécessaire pour exploiter ces vulnérabilités, dans la mesure où ce dernier doit visiter une page piégée et ouvrir un fichier malveillant.
La vulnérabilité ZDI-15-359 a été révélée en novembre dernier lors de l’évènement Mobile Pwn2Own. Avec un score CVSS de 7.5 sur 10, elle « concerne la façon dont Internet Explorer traite les tableaux représentant les cellules dans les tables HTML », explique TippingPoint. En manipulant les éléments d'un document, un attaquant pourrait - en exploitant cette vulnérabilité - forcer IE à utiliser de la mémoire après la fin d’un tableau de cellules HTML.
Une autre vulnérabilité (ZDI-15-360) se situe au niveau de la manipulation d'objets CAttrArray. Elle peut permettre à un attaquant de forcer un pointeur à être réutilisé après qu'il ait été libéré, pour exécuter du code à distance. Elle a été signalée à Microsoft en janvier et son score CVSS est de 6.8.
La troisième vulnérabilité ZDI-15-361 a également un score CVSS de 6.8 et peut permettre à un attaquant de forcer un pointeur à être réutilisé après qu'il ait été libéré, en manipulant les éléments d’un document. La faille spécifique se situe au niveau de la manipulation d’objets CCurrentStyle. Elle a aussi été rapportée à Microsoft en janvier dernier.
Comme les deux dernières, la vulnérabilité ZDI-15-362 a été rapportée à Microsoft en janvier. Avec un score CVSS de 6.8, la faille spécifique existe au sein de la manipulation d'objets CTreePos. Elle permet également à un attaquant de forcer un pointeur à être réutilisé après qu’il ait été libéré, en manipulant les éléments d’un document. Le fondateur de la ZDI explique qu’un attaquant « peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus actuel ».
D’après Wolfgang Kandek, CTO de la firme de sécurité Qualys, il n'y a pas beaucoup que vous puissiez faire pour le moment pour vous protéger de ces vulnérabilités si ce n’est de s’abstenir d'utiliser IE. Par contre, comme mesure de mitigation, TippingPoint suggère de « configurer Internet Explorer de sorte à ce qu’il nous avertisse avant d’exécuter Active Scripting ou désactiver Active Scripting dans la zone de sécurité Internet et Intranet local ».
Sources : blog Qualys, vulnérabilités ZDI-15-359, 360, 361, 362
Et vous ?
Qu’en pensez-vous ? Microsoft serait-il en train d'abandonner le support d'IE ?
Zero Day Initiative : 4 vulnérabilités critiques dans Internet Explorer divulguées
Après le non-respect du délai de correction fixé à Microsoft
Zero Day Initiative : 4 vulnérabilités critiques dans Internet Explorer divulguées
Après le non-respect du délai de correction fixé à Microsoft
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !