Deux chercheurs en sécurité estiment quil est techniquement possible dexploiter la faille critique dInternet Explorer dans ses versions 7 et 8. Alors que Microsoft, qui explique que seul IE6 sur Windows XP est affecté, publiera un correctif hors cycle.
Selon les premiers rapports de Microsoft, seuls les utilisateurs de la version 6 du navigateur et de Windows XP étaient réellement exposés. La fonctionnalité DEP (Data Execution Prevention) intégrée à IE7 et IE8 devant prévenir l’exploitation de la faille 0-day.
Finalement, il semble que le risque soit plus important. Un chercheur en sécurité, Dino Dai Zovi, a en effet développé un code PoC (proof-of-concept) permettant de compromettre une machine exécutant Internet Explorer 7 sur Vista et XP. Dans un message posté sur Twitter, Dino Dai Zovi estime que la protection apportée par le DEP peut être contournée.
Le chercheur déclare être proche de parvenir à exécuter des attaques plus puissantes, y compris en exploitant la faille critique dans Internet Explorer 8. La société d’analyse des vulnérabilités Vupen Security a d’ailleurs émis un bulletin de sécurité, succinct (vraisemblablement pour des raisons de sécurité), soulignant la possibilité d’exécuter du code à distance sur un ordinateur doté d’Internet Explorer 8.
Source : zdnet.fr
Plus : Net
