Zero Day Initiative a révélé que le navigateur Internet Explorer 8 comportait une faille de sécurité signalée il y a sept mois mais non corrigée. ZDI ne donne pas tous les détails de la faille mais suit son objectif de présenter publiquement une brèche de sécurité si elle n’a pas été corrigée dans les six mois suivant l’avertissement à l’éditeur.
Internet Explorer 8 comporte donc une brèche que l’on peut qualifier de critique. Cette classification est basée sur le fait qu’il suffit à un internaute de se rendre sur une page web spécialement conçue pour que la faille soit exploitable. En-dehors du simple fait d’ouvrir la page, ladite exploitation ne réclame aucune manipulation nécessaire, laissant alors libre champ à un code arbitraire pour s’exécuter.
Internet Explorer 8 se rencontre principalement sous Windows XP, pour lequel il est la dernière révision disponible du navigateur de Microsoft. Du fait de la part de marché de l’ancien système (environ 25 %), il est encore très présent dans le monde. Mais on le trouve également sous Vista et Windows 7 si une version plus récente n’a pas été installée.
Selon Zero Day initiative, la faille a été signalée le 11 octobre de l’année dernière, soit il y a plus de sept mois. Le site révèle donc publiquement la faille pour provoquer une réaction de la part de l’éditeur. Microsoft avait pourtant confirmé le 10 février que la faille existait bien, les ingénieurs étant parvenus à la reproduire. Le 8 mai, ZDI a prévenu l’éditeur que l’existence de la faille serait révélée, et a donc fini par le faire.
La firme a apporté une réponse dans un communiqué fourni à Cnet. Elle annonce qu’elle « développe et teste intensivement chaque correctif de sécurité aussi rapidement que possible ». Elle explique cependant que « certains correctifs sont plus que complexes que d’autres » et que chacun doit être testé avec « un nombre important de programmes, d’applications et de configurations différentes ». Par ailleurs, Microsoft n’est pas au courant actuellement de la moindre attaque qui se baserait sur cette faille.
L’éditeur juge sans doute qu’il n’y a pas urgence pour Internet Explorer 8. La version 9 est systématiquement proposée aux utilisateurs de Vista et Windows 7, et Windows XP n’est pour sa part plus supporté. La firme n’a dans tous les cas donné aucune indication sur l’arrivée d’un éventuel correctif.
