Windows, Internet Explorer, Edge : Microsoft pressé de produire des rustines

Elles n’ont rien de bien nouveau : si les chercheurs du projet zéro de Google se sont permis de révéler des vulnérabilités affectant la bibliothèque d’interface avec les dispositifs d’affichage (GDI), d’une part, et les navigateurs Web Edge et Internet Explorer, d’autre part, c’est parce qu’elles ont été signalées à Microsoft il y a plus de 90 jours. Et que ce dernier ne propose toujours pas de correctif pour elles.

Pour Craig Young, chercheur en sécurité chez Tripwire, la première vulnérabilité, affectant la bibliothèque GDI, n’est extrêmement dangereuse si elle est prise de manière isolée, mais elle peut constituer « une étape dans une chaîne d’exploitation plus vaste contenant des failles plus sérieuses permettant de l’exécution de code arbitraire. Dans ce cas particulier, un attaquant pourrait toutefois théoriquement utiliser des images taillées sur mesure au sein de contenu Web de manière accéder à des données sur le PC de l’utilisateur auxquelles il ne devrait normalement pas avoir accès ».

L’autre apparaît plus sérieuse, permettant directement de forcer l’exécution de code arbitraire à partir d’une page Web conçue spécifiquement : la vulnérabilité affecte la bibliothèque chargée de traiter le contenu HTML dynamique, mshtml.dll.

Ces vulnérabilités ont été communiquées à Microsoft dans le courant de novembre dernier. Mais elles ne font, pour l’heure, l’objet d’aucun correctif. Mi-février, Microsoft a officiellement indiqué renoncer à son lot de rustines mensuel, mentionnant « un problème de dernière minute qui pourrait affecter certains clients et n’a pas été résolu à temps pour nos mises à jour prévues aujourd’hui ». Difficile de dire si l’éditeur aurait pu repousser la distribution du lot de quelques jours, voire d’une semaine. Mais il a décidé reporter la publication des correctifs de février… au 14 mars.