Une faille inquiétante dans les navigateurs Internet Explorer et Edge de Microsoft vient d’être révélée par l’équipe de Google Project Zero. Cette vulnérabilité a été découverte en novembre dernier. Google a laissé le temps à Microsoft de régler le problème mais les patchs ne sont toujours pas prêts. L’usage des deux navigateurs est fortement déconseillé d’ici la publication des correctifs. Ce bug offre aux hackers une technique qui permettrait à un site Web malveillant d'écraser le navigateur d'un visiteur avec comme cerise sur le gâteau l'exécution à distance de code.

La vulnérabilité est identifiée sous le code CVE-2017-0037, et les détails de la faille ont été publiés sous les termes de Google Project Zero. Microsoft a été informé du problème il y a 90 jours et avait a priori tout le temps nécessaire pour procéder à des corrections, ce qu'il n'a pas fait. Comme prévu après le délai de trois mois, Google a rendu le problème public.

Le patch tuesday de février repoussé en mars

Une explication du bogue peut être trouvée sur le site Web Project Zero, et bien que le problème ait été trouvé dans la version 32 bits d'Internet Explorer, la version 64 bits d'IE, ainsi que Microsoft Edge, sont vulnérables au même exploit. Comme Microsoft n'a pas commenté cette révélation, on ne sait donc pas si le problème sera corrigé dans le patch de ce mois ci. La semaine dernière, Microsoft a diffusé en urgence un correctif de sécurité pour Flash, mais le reste des patchs programmés pour février ont été repoussés au 15 mars.