Microsoft a corrigé cette semaine la dernière vulnérabilité d'Internet Explorer (IE), utilisée en mars par un chercheur au concours annuel de hacking Pwn2Own, pour contourner la sandbox du navigateur Internet. Cet exploit lui avait permis de remporter un prix de 15 000 dollars et un ordinateur portable Sony. Pourtant, Microsoft avait pris soin d'apporter par deux fois des correctifs à son navigateur IE8 sous Windows 7 avant de le livrer au chercheur Stephen Fewer de Harmony Security. Pour parvenir à contourner la sandbox d'IE, appelé « mode protégé », Stephen Fewer avait enchaîné trois programmes tirant chacun profit d'une vulnérabilité différente (programmes désignés en anglais sous le nom d' « exploits »). A l'époque, HP TippingPoint, l'organisateur du Pwn2Own, avait trouvé la manipulation « impressionnante », rappelle Computerworld.

C'est donc ce bug que Microsoft vient de patcher, livrant une troisième mise à jour pour son navigateur. Celle-ci corrige en fait une série de failles faisant l'objet de 13 bulletins au total.Dans le bulletin MS11-057, l'éditeur crédite bien Stephen Fewer pour avoir découvert une troisième vulnérabilité, mais il affirme que ce bug n'est pas une faille de sécurité. A la question incluse dans une FAQ : « Est-ce que cette mise à jour contient des modifications de fonctionnalités non liées à la sécurité ? »,  Microsoft répond : « Oui, cette mise à jour résout un problème de contournement du « mode protégé », dont la référence commune est CVE-2011-1347 ».

Pour échapper au « Protected Mode »

Lors du Pwn2Own, Stephen Fewer a utilisé le bug de contournement pour échapper au « Protected Mode », de façon justement à contourner la sandbox du navigateur. Cela lui a permis de déposer dans la machine un fichier équivalent à un logiciel malveillant qu'aurait pu  introduire un hacker. Le chercheur a confirmé que la dernière mise à jour corrigeait effectivement la faille qu'il  avait utilisée au Pwn2Own. « Oui, le bulletin MS11-057 corrige ce dernier bug permettant le contournement du mode protégé, comme je l'ai fait au concours Pwn2Own. Les deux autres failles utilisées ont été corrigées par les bulletins MS11-018 et MS11- 050 », a-t-il déclaré. Comme le décrit Microsoft, le bulletin MS11-018, correspondant à la mise à jour d'avril « corrigeait les vulnérabilités en modifiant la façon dont Internet Explorer traite les objets en mémoire, ainsi que le contenu et les scripts durant certains processus ». Le bulletin MS11-050, qui correspond au patch du mois d'août, « est une mise à jour de sécurité qui corrige les vulnérabilités en modifiant la façon dont Internet Explorer applique les paramètres de contenu fournis par le serveur Web, traite le nettoyage HTML avec toStaticHTLM, traite les objets en mémoire et le script durant certains processus ». Ces deux vulnérabilités avaient été signalées à Microsoft via le programme de collecte de bugs mis en place par HP TippingPoint.

Une faille effectivement corrigée en août

Selon Aaron Portnoy, directeur de l'équipe de recherche sur la sécurité informatique de TippingPoint et organisateur du concours Pwn2Own, la mise à jour d'IE boucle les failles du concours 2011. Pendant le Pwn2Own, Microsoft avait déclaré que IE9, la dernière version de son navigateur lancée peu après l'exploit de Stephen Fewer, ne contenait pas les bugs mis à profit par le chercheur. Si l'on inclut le dernier Patch Tuesday, IE9 a été corrigé deux fois depuis son lancement en mars. Microsoft a reconnu que les bugs corrigés au mois d'août portaient sur des questions de sécurité. L'un d'eux avait d'ailleurs été signalé par Stephen Fewer. « Oui, j'ai fait quelques recherches sur IE9 et, effectivement, ma première vulnérabilité découverte dans IE9 a également été patchée dans le cadre du dernier Patch Tuesday, par le bulletin MS11-057 », a déclaré le vainqueur du concours Pwn2Own 2011 au sujet d'un autre bogue dont il a été crédité cette semaine. La  faille en question, qui porte la référence CVE-2011-1964, avait été signalée par TippingPoint à Microsoft en mai, et classée critique pour IE9 lorsque le navigateur tourne sous Vista ou Windows 7.

Stephen Fewer ne sait pas encore s'il sera en compétition pour tenter d'exploiter des failles sur IE9 dans l'édition 2012 du Pwn2Own, mais il a laissé la porte ouverte. « Je n'ai rien décidé pour l'instant. Mais si j'ai quelques nouveaux bugs sous la main à ce moment là, qui sait ? » a-t-il déclaré pendant une conférence.

Les mises à jour de sécurité du mois d'août, y compris le bulletin MS11-057 pour IE, peuvent être téléchargées et installées via Microsoft Update et Windows Update Services, et via Windows Server Update Services.

Illustration : Stephen Fewer (crédit : Harmony Security)