Faille 0 day dans Internet Explorer, les détails déjà disponibles

Le chercheur John Page a publié les détails et un prototype d’exploitation d’une vulnérabilité dans Internet Explorer. Une décision prise à la suite d’un refus de Microsoft de s’en occuper diligemment.

La faille est de XXE (XML eXternal Entity) et réside dans la manière dont Internet Explorer prend en charge les fichiers MHT. Ces derniers ont été pour rappel pendant longtemps le format classique d’enregistrement des pages web quand l’utilisateur voulait les enregistrer localement (Ctrl + S).

Bien que tous les navigateurs soient passés au HTML depuis longtemps, les fichiers MHT sont ouverts par défaut via Internet Explorer, même sur les Windows les plus récents.

Selon Page, ils peuvent donc être utilisés pour exploiter la faille dans Internet Explorer, exploitable de manière qu’aucune interaction de l’utilisateur soit requise. Le pirate serait alors en mesure de dérober des données locales.

Qu’Internet Explorer ne soit plus utilisé que par 6 ou 7 % des utilisateurs dans le monde n’y change pas grand-chose : le navigateur est installé par défaut et ouvre les fichiers MHT. En théorie, tout ce dont un pirate a besoin est donc d’un double clic sur une archive MHT.

Microsoft n’a pas refusé de corriger le problème, mais a répondu que ce ne serait pas dans l’immédiat. Le problème ne semble pas urgent à l’éditeur. La publication des informations par John Page pourrait donc accélérer le mouvement.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !