Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Quatre failles 0-day dans Internet Explorer Mobile

Et ce n'est pas faute d'avoir averti à l'avance
Mobilité 4 min
Quatre failles 0-day dans Internet Explorer Mobile
Crédits : billyfoto/iStock

La version mobile d’Internet Explorer fait actuellement face à quatre failles 0-day. Un chiffre important et d’autant plus grave que Microsoft était au courant de ces brèches de sécurité depuis plusieurs mois. Explications.

Windows et Windows Phone partagent de nombreux points communs, y compris un certain nombre de composants. Dans Windows Phone 8.1 particulièrement, Microsoft a largement insisté sur le fait que la version intégrée d’Internet Explorer reprenait par exemple le même moteur que la version 11 présente sur Windows 7 et 8.1 (Windows 8 était fourni avec Internet Explorer 10 et ne pouvait à la version 11 qu’avec la mise à jour 8.1).

Les 120 jours de la ZDI largement dépassés

Problème : les failles touchant la version classique peuvent très bien affecter la variante mobile. C’est précisément ce qui s’est passé avec quatre brèches de sécurité signalée par la Zero Day Initiative de HP le 12 novembre de l’année dernière. Ceux qui connaissent la ZDI savent qu’une politique de 120 jours est appliquée : c’est le délai fourni à l’éditeur pour corriger les problèmes signalés, après quoi les détails des failles sont révélés. L’éditeur peut cependant réclamer un délai en cas de retard, mais l’acceptation dépend des cas.

Environ trois mois et demi après le signalement, et sans nouvelle de la part de Microsoft, l’équipe de la ZDI a demandé à l’éditeur s’il avait besoin d’un peu plus de temps. Réponse affirmative du côté de Microsoft, qui requiert alors un prolongement jusqu’au 19 juillet. Trop long pour la ZDI, qui octroie dans un premier temps une date butoir fixée au 12 mai. Le 29 avril, l’équipe demande une nouvelle fois à Microsoft comment avance le travail sur les correctifs. Mais l’éditeur n’est pas prêt, et la ZDI accorde finalement la date réclamée initialement : le 19 juillet.

Quatre failles, dont une suffisamment documentée pour représenter un vrai danger

À partir de là, Microsoft était averti que les détails des failles seraient publiés le 20 juillet dans tous les cas. Or, entre temps, des patchs de sécurité ont bien été fournis à Internet Explorer, mais uniquement pour les versions sur PC. Traduction : les failles restent ouvertes sur Windows Phone, et les patchs n’ont pas été distribués. Les quatre bulletins publiés par ZDI, estampillés ZDI-15-359, ZDI-15-360, ZDI-15-361 et ZDI-15-362 font donc tous référence à Internet Explorer Mobile.

Selon l’échelle CVSS (Common Vulnerability Scoring System), la faille la plus grave est la première, avec un score de 7,5 sur 10. Elle est relative à la manière dont le navigateur gère les tableaux dans les tables HTML. Dans certaines circonstances, et via un site web spécialement conçu, un pirate pourrait amener le navigateur à exécuter un code arbitraire. Le seul facteur limitant l’attaque est que le pirate doit obtenir de l’utilisateur qu’il accomplisse une action, comme cliquer sur un lien.

Cette faille est d’autant plus sérieuse qu’elle a initialement été révélée par le chercheur en sécurité Nicolas Joly lors du dernier concours Mobile Pwn2Own, organisée par la ZDI justement. En vertu des règles du concours, les détails en avaient été partagés avec cette dernière, ainsi qu’avec Microsoft. Selon Carsten Eiram, directeur de la recherche chez Risk Based Security, interrogé par Network World, la faille ZDI-15-359 est la seule des quatre à être entourée de suffisamment d’informations pour que les pirates aient « un bon point de départ ».

Le problème des mises à jour sur Windows Phone

La seule solution pour l’instant côté utilisateur est de désactiver complètement l’Active Scripting, ou au moins de configurer Internet Explorer Mobile pour qu’une autorisation soit systématiquement demandée avant d’exécuter ce type d’action.

Notez que la correction des failles dans Internet Explorer Mobile prendra nécessairement plus de temps à atteindre les utilisateurs que dans le cas des Windows classiques. Windows Update peut fournir rapidement les correctifs pour les systèmes PC, Microsoft n’hésitant d’ailleurs pas à briser son cycle mensuel quand cela est nécessaire. Dans le cas de Windows Phone, la mise à jour doit être malheureusement envoyée à travers les filtres successifs des constructeurs et des opérateurs, les contrôles allongeant nettement le processus de diffusion.

Notez que cette situation devrait s'améliorer avec Windows 10 Mobile, puisque le système sera équipé du même Windows Update que son équivalent sur PC. Reste à savoir s'il fonctionnera à la même vitesse, Microsoft ayant clairement sous-entendu que les opérateurs auraient moins leur mot à dire.

91 commentaires
Avatar de Ricard INpactien
Avatar de RicardRicard- 24/07/15 à 15:37:31

NSA powered. :8

Avatar de Konrad INpactien
Avatar de KonradKonrad- 24/07/15 à 15:41:30

Dates auxquelles Microsoft a été mis au courant de ces failles :

ZDI-15-359 : 12 novembre 2014 (concours Pwn2Own Mobile).
ZDI-15-360 : 8 janvier 2015.
ZDI-15-361 : 20 janvier 2015.
ZDI-15-362 : 20 janvier 2015.

24 juillet 2015 : toujours pas corrigées. Belle réactivité !

D'une façon plus générale ça pose le problème des mises à jour sur OS mobiles : il faudrait au moins que les acteurs (y compris Google et Apple) supportent au moins des patches de sécurité sur tous leurs appareils.

Avatar de Notice me Sempai Abonné
Avatar de Notice me SempaiNotice me Sempai- 24/07/15 à 15:43:03

nan, je dirais plus que ca doit etre chiant a corriger avec toutes les validations a faire aupres des operateurs.

et avec edge qui attend au coin de la rue, je pense qu'un ponte a du dire OSEF tout simplement... meme si ca fait tache...

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 24/07/15 à 15:53:56

Promo sur la faille, 3 achetées la 4ème offerte.

:D

Avatar de shadowfox INpactien
Avatar de shadowfoxshadowfox- 24/07/15 à 15:58:23

MS, là vous n'avez pas d'excuse, surtout avec vos moyens...

Avatar de Drepanocytose INpactien
Avatar de DrepanocytoseDrepanocytose- 24/07/15 à 15:59:32
Édité par Tolor le 27/07/2015 à 11:32
Avatar de Konrad INpactien
Avatar de KonradKonrad- 24/07/15 à 16:02:33
Édité par Tolor le 27/07/2015 à 11:32
Avatar de Hugues1337 INpactien
Avatar de Hugues1337Hugues1337- 24/07/15 à 16:03:22

Plus de 6 mois pour un patch c'est suffisant, tu ne penses pas ? ;)

Avatar de Notice me Sempai Abonné
Avatar de Notice me SempaiNotice me Sempai- 24/07/15 à 16:04:43
Édité par Tolor le 27/07/2015 à 11:32
Avatar de Ricard INpactien
Avatar de RicardRicard- 24/07/15 à 16:05:53
Édité par Tolor le 27/07/2015 à 11:32
Il n'est plus possible de commenter cette actualité.
Page 1 / 10