Zero Day Initiative a révélé que le navigateur Internet Explorer 8 comportait une faille de sécurité signalée il y a sept mois mais non corrigée. ZDI ne donne pas tous les détails de la faille mais suit son objectif de présenter publiquement une brèche de sécurité si elle n’a pas été corrigée dans les six mois suivant l’avertissement à l’éditeur.
Internet Explorer 8 comporte donc une brèche que l’on peut qualifier de critique. Cette classification est basée sur le fait qu’il suffit à un internaute de se rendre sur une page web spécialement conçue pour que la faille soit exploitable. En-dehors du simple fait d’ouvrir la page, ladite exploitation ne réclame aucune manipulation nécessaire, laissant alors libre champ à un code arbitraire pour s’exécuter.
Internet Explorer 8 se rencontre principalement sous Windows XP, pour lequel il est la dernière révision disponible du navigateur de Microsoft. Du fait de la part de marché de l’ancien système (environ 25 %), il est encore très présent dans le monde. Mais on le trouve également sous Vista et Windows 7 si une version plus récente n’a pas été installée.
Selon Zero Day initiative, la faille a été signalée le 11 octobre de l’année dernière, soit il y a plus de sept mois. Le site révèle donc publiquement la faille pour provoquer une réaction de la part de l’éditeur. Microsoft avait pourtant confirmé le 10 février que la faille existait bien, les ingénieurs étant parvenus à la reproduire. Le 8 mai, ZDI a prévenu l’éditeur que l’existence de la faille serait révélée, et a donc fini par le faire.
La firme a apporté une réponse dans un communiqué fourni à Cnet. Elle annonce qu’elle « développe et teste intensivement chaque correctif de sécurité aussi rapidement que possible ». Elle explique cependant que « certains correctifs sont plus que complexes que d’autres » et que chacun doit être testé avec « un nombre important de programmes, d’applications et de configurations différentes ». Par ailleurs, Microsoft n’est pas au courant actuellement de la moindre attaque qui se baserait sur cette faille.
L’éditeur juge sans doute qu’il n’y a pas urgence pour Internet Explorer 8. La version 9 est systématiquement proposée aux utilisateurs de Vista et Windows 7, et Windows XP n’est pour sa part plus supporté. La firme n’a dans tous les cas donné aucune indication sur l’arrivée d’un éventuel correctif.
Commentaires (82)
#1
J’ai corrigé la faille moi-même. Je n’utilise plus IE8.
En fait, j’ai du utiliser IE juste en 1997 et 1998. " />
#2
#3
Toujours en IE8 sous XP non virtualisé au taf " />
J’espère que NXI n’exploite pas cette faille " />
#4
#5
Un truc me turlupine : si j’installe et que je lance IE8 sous Wine et que je me fais infecter par une faille, que se passerait-il ? " />
#6
Cela confirme donc ce qui a été dit sur d’autres news : si une faille n’est pas rendue publique, elle met beaucoup plus de temps avant d’être corrigée.
#7
#8
#9
#10
#11
#12
C’est plus une 0Day à se stade " />
#13
Enfant cherche famille d’accueil.
ça prend toujours du temps pour être adopté. " />
mais celui-là risque de finir par être profité.
#14
Par ailleurs, Microsoft n’est pas au courant actuellement de la moindre attaque qui se baserait sur cette faille.
Il manquerait plus que ça. " />
#15
Si tout va bien, ils accoucheront dans deux mois.
On a bien compris une fois encore la campagne anti xp à peine voilée.
De toute évidence, la vente forcée n’a pas fini d’engrosser le client…
#16
7 mois = 210 jours ?
encore 63 jours et ce sera une faille ZAD (Zero Absolute Day )
" />
#17
de toute facon IE ne sert qu’à une seule chose : télécharger Firefox " />
#18
#19
#20
#21
#22
#23
Ah, ça ne touche que IE8?
Je suis donc safe sous IE6 au taf, ouf!" />
#24
Y’en a encore qui croient qu’on attrape des virus par l’opération du saint esprit et (juste) parce qu’on utilise IE.
Quand je vois un crachat par terre, je me dis pas que je vais y foutre mon doigts pour le fun parce que j’adore avoir la tuberculose.
#25
#26
#27
#28
#29
En tout cas ce sont surtout les news sur ses failles qui me rappellent à chaque fois que j’ai IE sur mon PC..tellement j’oublie que ce navigateur existe encore.." />
#30
#31
#32
#33
#34
#35
A mon avis c’est toi qui manque sérieusement de recul, j’ai des “amis” qui n’y connaissent rien en informatique et dont je m’occupe de leurs machines, c’est pas pour autant que je m’amuse à leur virer des virus ou leurs refaire leurs machines toutes les deux semaines…
deux options !
1:/ tu as affaire à un entourage proche réellement stupide, pas foutu de lire la moindre chose lors d’installation douteuse (désolé)
2:/ c’est arrivé une fois, et tu en rajoute une caisse, pour la jouer “vous avez vu je suis un pro je suis sous Linux” (ahah).
Comme déjà dit, remet toi en question toi et ton entourage avant d’avancer des énormités…. c’est fini les années 2000
#36
#37
#38
#39
#40
La gueguerre Windows / Linux " />
#41
#42
#43
#44
Marre des problèmes de failles dans les browser web ?
Faites comme moi: apprenez le HTML et utilisez telnet.
" />
#45
#46
#47
#48
Vous me faites rire avec vos commentaires ! Je vois que certains parlent en ayant une vision obsolète ou incomplète de l’OS qu’ils n’utilisent pas.
J’ai ce problème avec un ami qui était extrémiste Linux. A force de lui montrer que les arguments qu’ils me sortaient étaient valables il y a 10 ans mais plus maintenant, il est en train d’admettre que Linux et Windows se valent, avec un avantage qui va de plus en plus vers Windows.
D’ailleurs j’attends que la communauté libre prenne le taureau par les cornes et remette en cause certaines bases de Linux comme son noyau qui est basé sur une architecture ancienne et qui risque de rapidement atteindre ses limites.
Il est dommage, vu la marge de manœuvre bien plus grande dont dispose Linux vu qu’il peut beaucoup plus facilement rompre la compatibilité avec les anciennes version que Windows, n’évolue pas vers quelque chose de nouveau, des concepts inédits.
Il y a encore quelques années, je pariais sur Linux pour faire évoluer l’informatique, aujourd’hui, j’ai beaucoup plus confiance en Microsoft pour ça, dommage !
#49
On peut critiquer mais il n’y a aucun autre navigateur datant de 2006 qui soit encore supporté.
" />
#50
#51
Tu parles bien du système d’exploitation qui, après 30 ans de présence sur le marché, est le seul à ne pas être multi-utilisateur ?
Merci de donner des exemples concrets à mes dires " />
#52
#53
#54
#55
#56
#57
#58
#59
#60
#61
#62
#63
#64
Euh faut arrêter, sous Linux aussi il y a des régressions d’une version à l’autre de plein de programmes, et pire encore une rétro/compatibilité absente pour beaucoup lorsqu’on passe d’une version stable d’une distribution à la suivante.
Faut se retaper toute la conf qui change souvent du tout au tout ou alors jouer avec le gestionnaire de paquet pour locker X ou Y paquet en attendant que la régression soit fixée pour une futur probable mise à jour on ne sait quand.
Et ça, c’est quand il n’y a pas des devs qui en insultent d’autres dans les sources en commentaires…