Des Jpeg qui font planter Internet Explorer
C’est à travers la liste de diffusion spécialisée « Full Disclosure » que Michal Zalewski a décidé de publier le fruit de ses recherches sur la sécurité du navigateur Internet Explorer. Une vulnérabilité dans le décodeur d’images au format JPEG permettant un déni de service sur le butineur a été mise en exergue.
La faille est localisée dans le décodeur d’images au format JPEG utilisé par Internet Explorer. La visualisation d’une image piégée, spécialement conçue à cet effet, provoque le « crash » du navigateur. Pour le moment, il n’est pas indiqué si la vulnérabilité pourrait permettre l’exécution de code arbitraire mais elle n’est pas sans rappeler la vulnérabilité JPEG GDI+.
Michal Zalewski n’a pas suivi le processus habituel pour annoncer ce nouveau défaut de sécurité. En effet, Microsoft a découvert le problème en même temps que les abonnés à la liste de diffusion « full-disclosure ». L’usage voudrait que l’éditeur soit prévenu avant que l’information soit rendue publique mais d’après le chercheur, Microsoft ne serait pas assez réactif et n’accorderait pas assez d’importance à ce type de faille. Laissons donc la communauté juger de la sévérité du problème.
Quoi qu’il en soit, à cette heure, aucun correctif n’est disponible. Des recherches approfondies nous en apprendront sûrement plus sur la vulnérabilité et ses conséquences possibles. Il est certain que bon nombre de spécialistes doivent être, en ce moment même, le nez dans le « debugger » pour trouver un moyen d’utiliser cette faille afin d’exécuter du code arbitraire et rendre cette faille suffisamment dangereuse aux yeux de Microsoft pour que la firme de Redmond décide de publier rapidement un correctif.
Michal Zalewski a publié un résumé des résultats de son expérience sur le site Neohapsis sans avoir lancé un avertissement à Microsoft au préalable. Dans son exposé, il donne également le lien vers une page hébergeant des images de son cru qui font planter Internet Explorer.
Source :
Slts _DELL_
.
