Vupen découvre une faille Zéro Day affectant IE9 et Windows 7 SP1

Le fournisseur français révèle des exploits possibles sur les toutes dernières versions du navigateur et du système d'exploitation de Microsoft.

Le fournisseur français de solutions de sécurité Vupen annonce avoir découvert un exploit fiable pour Internet Explorer 9, pouvant compromettre Windows 7 SP1.  L'exploit fait voler en éclat les couches supplémentaires de sécurité de Windows 7, tels que l'ASLR, le ,DEP et le bac à sable (soit le mode protégé) d'IE9. Les attaques "by pass" possibles, en navigant via IE9, peuvent permettre à des attaquants d'exécuter du code malveillant sur les PC tournant sous Windows 7 totalement mis à jour.

"L'exploit utilise deux vulnérabilités distinctes. La première permet l'exécution de code arbitraire dans le bac à sable d'IE9. Le second permet le contournement de la sandbox pour réaliser l'exécution du code complet", a détaillé Chaouki Bekrar le P-DG Vupen, qui s'est récemment illustré  en remportant le concours Pown2own après avoir mis à genoux un MacOSX via Safari en quelques secondes.  

La vulnérabilité affecte en fait IE 6, 7, 8 ou 9, mais Vupen n'a pas testé la faisabilité de l'attaque sur ces versions. Les vulnérabilités n'ont pas été divulguées au public, et aucun pirate ne les aurait encore utilisées.