La société Vupen détenait une faille dans IE depuis 3 ans !

La société Française Vupen - spécialisée dans la sécurité – a déclarée qu’elle contenait des informations sur une vulnérabilité sérieuse au sein d’Internet Explorer depuis 3 ans, avant de la révéler à la compétition de hacking « Pwn2Own » qui a eu lieu en Mars dernier.

vignette-ie1Cette faille de sécurité Zero-Day affecte les versions suivantes d’IE : 8, 9, 10 et 11. Elle autorise un attaquant d’outrepasser à distance la sandbox* du mode protégé du navigateur, ce qui permettra de gagner une élévation de privilèges.

Pour être plus précis, la société Vupen avait découverte cette vulnérabilité le 12 Février 2011. Elle fût corrigée lors du dernier Patch de mise à jour publié par Microsoft et elle est référencer sous CVE-2014-277.

Ce qui donne l’historique suivant :

- 12 Février 2011 : Vupen découvre la faille
- 13 Mars 2014 : Vupen remonte l’information à Microsoft
- 11 Juin 2014 : Microsoft déploie un correctif

La société précise : « La vulnérabilité est dû à la mauvaise manipulation d’une séquence d’actions ayant pour but de sauvegarder un fichier lors de l’appel de la fonction ShowSaveFileDialog(), qui peut être exploitée par un processus « sandboxé » afin d’écrire des fichiers dans des locations arbitraires sur le système et d’outrepasser le mode de protection d’IE ».

*Sandbox : Mécanisme de sécurité utilisé pour exécuter une application au sein d’un environnement restreint et cloisonné du système d’exploitation. Ce qui permet d’éviter qu’un code malveillant affecte directement le système d’exploitation.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Co-Fondateur d’IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno’ est importante je partage aussi des actus.

florian a publié 1615 articles sur IT-Connect.See all posts by florian

2 réactions sur “La société Vupen détenait une faille dans IE depuis 3 ans !

    • 24/07/2014 à 20:29
      Permalink

      Oui oui, notamment en entreprise où cela est plus facile de le configurer/utiliser au sein d’un environnement Microsoft. Personnellement, il m’arrive de l’utiliser en tant que navigateur secondaire et je trouve que la dernière version n’est pas mauvaise 🙂

      Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *