I.E. : un ZDE qui se moque de DEP et ASLR

Vupen, éditeur d’outils de pentesting, signale l’existence d’une faille encore inconnue dans Internet Explorer. Le ZDE exploiterait un défaut situé dans le parser chargé du traitement des règles d’importation des CSS d’une page Web, et une preuve de faisabilité est diffusée, par le biais d’une séquence vidéo, par l’équipe technique d’Abysssec. La vulnérabilité a été ajoutée à la panoplie des extensions Metasploit. Techniquement parlant, l’exploit en question n’est pas considéré comme étant utilisé « dans la nature ». Chez Microsoft, la façon de voir les choses est sensiblement différente, comme le fait remarquer un article de Brian Krebs sur le sujet. « Compte tenu de la diffusion publique de cette vulnérabilité, la probabilité d’une utilisation criminelle de ces informations dans le cadre d’une attaque visant nos clients peut sensiblement augmenter » dit en substance Dave Forstrom, directeur de l’équipe trustworthy computing chez Microsoft. Et de publier immédiatement un bulletin d’alerte.