Nouvelle vulnérabilité critique découverte dans Internet Explorer

Idelways · 03/01/2011, 16h13

Nouvelle vulnérabilité critique découverte dans Internet Explorer
Avec cross_fuzz, l'outil de sécurité développé par un ingénieur de Google

Un bug critique d'Internet Explorer a été découvert et des détails sur son exploitation ont été accidentellement divulgués sur Internet. Problème, des pirates chinois auraient consultés ces informations sensibles.

Ce bug fait partie de la longue liste d'une centaine de nouvelles vulnérabilités découvertes grâce à cross_fuzz, un nouvel outil développé par le chercheur Michal Zalewski, travaillant chez Google.
Cette liste concerne aussi bien IE que les autres navigateurs majeurs, y compris Chrome et Safari, tous les deux fondés sur Webkit.

Un développeur de Webkit, qui collabore avec Zalewski, a publié accidentellement un rapport qui contient des liens vers le dossier où étaient stockés cross_fuzz et les détails des autres bugs généré par l'outil.

Ironiquement, les bots de Google n'ont pas raté ces liens et ont ajouté ces fichiers à l'index du moteur de recherche, rendant publiques des informations hautement sensibles, notamment sur le nouveau bug critique d'Internet Explorer

Tous comme les bots, des pirates chinois n'ont manifestement pas raté cette bourde puisque Zalewski se désole d'avoir enregistré des consultations de ces informations depuis une adresse IP localisée en Chine.

Bien que l'outil de recherche de vulnérabilités n'ait pas été téléchargé, un pirate chinois aurait lancé par la suite des recherches pointues sur les fonctions de MSHTML.DLL en relations directe avec la nouvelle faille critique d'Internet Explorer décrite dans le rapport des deux chercheurs.

Ce qui laisse croire que ce pirate (qui a par ailleurs rapatrié tous les autres rapports de bugs) connaissait déjà cette faille, ou du moins suspectait son existence selon Zalewski.

Devant cette situation, l'employé de Google s'est résigné à rendre son outil public, et ce avant même que Microsoft n'ait patché cette vulnérabilité.

Zalewski aurait même décliné la demande de Microsoft de reporter cette publication de peur que les pirates chinois ne soient déjà en mesure de l'exploiter. Pour sa défense, il affirme dans l'annonce qui accompagne la mise à disposition de cross_fuzz, qu'il avait notifié la présence de ce bug à Microsoft dès juillet 2010.

Microsoft aurait bien accusé réception de son message, mais sans donner d'autres signes de vie jusqu'en décembre. Pour demander le report de la publication de l'outil, donc.

Une situation qui n'est pas sans rappeler l'affaire Ormandy qui avait fait couler beaucoup d'encre et relancé le débat sur l'éthique des chercheurs en sécurité.

En attendant d'en savoir d'avantage, il semble que les experts de Microsoft et ceux de Google aient encore du mal à collaborer.

Source : le message de Zalewski, l'annonce de la sortie cross_fuzz

Et vous ?

Que pensez-vous de cette affaire ?

En collaboration avec Gordon Fowler

hivenz · 03/01/2011, 16h36

Citation:

Devant cette situation, l'employé de Google s'est résigné à rendre son outil public, et ce avant même que Microsoft n'ait patché cette vulnérabilité.

Zalewski aurait même décliné la demande de Microsoft de reporter cette publication de peur que les pirates chinois ne soient déjà en mesure de l'exploiter. Pour sa défense, il affirme dans l'annonce qui accompagne la mise à disposition de cross_fuzz, qu'il avait notifié la présence de ce bug à Microsoft dès juillet 2010.

Microsoft aurait bien accusé réception de son message, mais sans donner d'autres signes de vie jusqu'en décembre. Pour demander le report de la publication de l'outil, donc.

Zalewski a eu raison de décliner alors que Microsoft a eu 6 mois pour corriger ça. Là encore, et c'est dommage, on voit qu'on attend la dernière minute pour corriger des problèmes (ici c'est Microsoft mais ce n'est pas la seule société à le faire).

Philippe Bastiani · 05/01/2011, 14h59

Citation:

Envoyé par hivenz

Zalewski a eu raison de décliner alors que Microsoft a eu 6 mois pour corriger ça. Là encore, et c'est dommage, on voit qu'on attend la dernière minute pour corriger des problèmes (ici c'est Microsoft mais ce n'est pas la seule société à le faire).

Laisser une faille dans la nature est certes très dangereux... mais divulguer cette même faille est, IMHO, inconsidéré : imagines que cette faille soit exploitée... tu crois que les victimes iront féliciter Zalewski de sa découverte ?

Question: est-ce que Zalewski aurait eu autant de zèle si le problème concernait Google ?

spawntux · 05/01/2011, 17h53

Le full disclo c'est le bien,
Combien de fois et de temps les societé ont etait prevenue ?
Bien souvent elle se donne meme pas la peine de repondre au mec qui les previens meme sans la corriger un petite demande si le mec veut bien patienter ca coute rien.

Donc oui il a eu raison c'est comme les vuln microsoft qui traine depuis 6 ans tu trouves ca normal ?

Philippe Bastiani · 05/01/2011, 19h35

Citation:

Envoyé par spawntux

Donc oui il a eu raison c'est comme les vuln microsoft qui traine depuis 6 ans tu trouves ca normal ?

NON 6ans voire même seulement 6 mois ce n'est pas normal...

Mais une faille divulguée augmente la probabilité que celle-ci soit exploitée... en tant qu'utilisateur, je préfère que la description des failles ne soit pas offerte à la communauté des hackers (dont certains ne sont pas que des bidouilleurs) ! Je suis conscient que le système que j'utilise est imparfait mais je ne souhaite pas devenir une victime potentielle suite à divulgation d'une telle info...

03/01/2011, 16h13	#1
Idelways Coordinateur publications Développeur Ruby on Rails / iOS et journaliste Inscription : juin 2010 Messages : 1 101 Détails du profil Informations professionnelles : Activité : Développeur Ruby on Rails / iOS et journaliste Informations forums : Inscription : juin 2010 Messages : 1 101 Points : 24 230 Points : 24 230	Nouvelle vulnérabilité critique découverte dans Internet Explorer Nouvelle vulnérabilité critique découverte dans Internet Explorer Avec cross_fuzz, l'outil de sécurité développé par un ingénieur de Google Un bug critique d'Internet Explorer a été découvert et des détails sur son exploitation ont été accidentellement divulgués sur Internet. Problème, des pirates chinois auraient consultés ces informations sensibles. Ce bug fait partie de la longue liste d'une centaine de nouvelles vulnérabilités découvertes grâce à cross_fuzz, un nouvel outil développé par le chercheur Michal Zalewski, travaillant chez Google. Cette liste concerne aussi bien IE que les autres navigateurs majeurs, y compris Chrome et Safari, tous les deux fondés sur Webkit. Un développeur de Webkit, qui collabore avec Zalewski, a publié accidentellement un rapport qui contient des liens vers le dossier où étaient stockés cross_fuzz et les détails des autres bugs généré par l'outil. Ironiquement, les bots de Google n'ont pas raté ces liens et ont ajouté ces fichiers à l'index du moteur de recherche, rendant publiques des informations hautement sensibles, notamment sur le nouveau bug critique d'Internet Explorer Tous comme les bots, des pirates chinois n'ont manifestement pas raté cette bourde puisque Zalewski se désole d'avoir enregistré des consultations de ces informations depuis une adresse IP localisée en Chine. Bien que l'outil de recherche de vulnérabilités n'ait pas été téléchargé, un pirate chinois aurait lancé par la suite des recherches pointues sur les fonctions de MSHTML.DLL en relations directe avec la nouvelle faille critique d'Internet Explorer décrite dans le rapport des deux chercheurs. Ce qui laisse croire que ce pirate (qui a par ailleurs rapatrié tous les autres rapports de bugs) connaissait déjà cette faille, ou du moins suspectait son existence selon Zalewski. Devant cette situation, l'employé de Google s'est résigné à rendre son outil public, et ce avant même que Microsoft n'ait patché cette vulnérabilité. Zalewski aurait même décliné la demande de Microsoft de reporter cette publication de peur que les pirates chinois ne soient déjà en mesure de l'exploiter. Pour sa défense, il affirme dans l'annonce qui accompagne la mise à disposition de cross_fuzz, qu'il avait notifié la présence de ce bug à Microsoft dès juillet 2010. Microsoft aurait bien accusé réception de son message, mais sans donner d'autres signes de vie jusqu'en décembre. Pour demander le report de la publication de l'outil, donc. Une situation qui n'est pas sans rappeler l'affaire Ormandy qui avait fait couler beaucoup d'encre et relancé le débat sur l'éthique des chercheurs en sécurité. En attendant d'en savoir d'avantage, il semble que les experts de Microsoft et ceux de Google aient encore du mal à collaborer. Source : le message de Zalewski, l'annonce de la sortie cross_fuzz Et vous ? Que pensez-vous de cette affaire ? En collaboration avec Gordon Fowler
	00

05/01/2011, 17h53	#4
spawntux Membre expérimenté Inscription : janvier 2007 Messages : 439 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 439 Points : 519 Points : 519	Le full disclo c'est le bien, Combien de fois et de temps les societé ont etait prevenue ? Bien souvent elle se donne meme pas la peine de repondre au mec qui les previens meme sans la corriger un petite demande si le mec veut bien patienter ca coute rien. Donc oui il a eu raison c'est comme les vuln microsoft qui traine depuis 6 ans tu trouves ca normal ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email