Microsoft refuse de patcher une faille zero-day découverte dans Internet Explorer

Une faille zero-day découverte dans Internet Explorer permettrait à des hackers de subtiliser vos données même si vous n’avez jamais utilisé le navigateur. Alertée, Microsoft refuse de proposer un correctif.

L’info

Un chercheur en sécurité a découvert une faille zero-day dans Internet Explorer. Même si l'ancien navigateur Web de Microsoft a été remplacé par Edge et que son utilisation reste anecdotique, certaines de ses fonctionnalités sont toujours exploitées par les versions les plus récentes de Windows.

Ce que cela implique

L’exploitation de cette faille de sécurité repose sur la manière qu’à Windows de gérer les fichiers MHT, un format d’archive utilisé autrefois pour sauvegarder des pages Web. Si aujourd’hui ce format a été remplacé par du HTML, tous les navigateurs Web modernes sont capables d’ouvrir les fichiers MHT.

Seul problème, Windows est configuré pour ouvrir par défaut les fichiers MHT avec Internet Explorer. L’exploitation de cette faille de sécurité serait donc un jeu d'enfant pour un hacker puisqu’il suffit que la victime double clique sur un fichier MHT, reçu par exemple en pièce jointe d’un email, pour qu’il puisse accéder à distance au contenu de la machine afin d'en siphonner des données.

Erreur lors du chargement du média :
Source introuvable

Le contexte

John Page, le chercheur à l’origine de cette découverte, explique avoir pu exploiter cette faille de sécurité sur Windows 7, Windows 10, et Windows Server 2012 R2, avec la dernière version d'Internet Explorer, et cela, malgré l’installation de tous les patchs de sécurité les plus récents.

Alertée par le chercheur de cette découverte, Microsoft a refusé de proposer un patch pour colmater la faille. Par conséquent, John Page, le chercheur à l’origine de cette découverte a décidé de rendre public le code.

Source :
ZDNet