Zero Day Initiative : une faille IE 8 est révélée car Microsoft manque d’attention
En octobre 2013, le programme ZDI signale à Microsoft une faille zero day sur IE 8. Mais il estime que le temps de réaction est trop long.
Cela fait sept mois que le programme Zero Day Initiative (initié par HP-TippingPoint, il récompense les chercheurs trouvant des failles de sécurité IT) a découvert une faille zero day dans le navigateur Internet Explorer 8 de Microsoft.
Localisée dans la bibliothèque MSHTML (moteur de rendu), la vulnérabilité peut favoriser l’éxécution de code arbitraire en réorientant l’utilisateur vers un site compromis ou par l’ouverture d’un document corrompu, relève Silicon.fr.
Malgré les sollicitations prononcées de la part de ZDI, Microsoft n’a pas vraiment réagi. ZDI a donc rendu public cette faille zero day affectant IE8. Microsoft a-t-il considéré que cette alerte n’était pas prioritaire ? Sachant que l’éditeur exploite désormais la version 11 du navigateur.
En guise de réaction, Microsoft s’est contenté de renforcer les paramètres de sécurité IE8 plutôt que de diffuser un patch dédié. Rendez-vous au prochain Patch Tuesday de juin pour corriger le tir ?