HP effraie avec des vulnérabilités Windows Phone
Dans le cadre de son initiative Zero Day, HP vient de dévoiler quatre vulnérabilités critiques permettant l’exécution de code à distance via Internet Explorer. Mais pour la version dédiée aux smartphones Windows, pas aux postes de travail.
Oups. Les chercheurs de sécurité de HP ont découvert quatre vulnérabilités critiques au sein d’Internet Explorer. Leur exploitation peut permettre de provoquer l’exécution de code à distance. Pour l’heure aucun correctif n’est proposé par Microsoft. Las, HP a oublié de mentionner un détail de taille : c’est la version smartphones de Windows qui est affectées, par celle destinée aux ordinateurs personnels.
Les détails des vulnérabilités (ZDI-15-359, 360, 361 et 362) ont été divulgués dans le cadre du programme Zero Day Initiative (ZDI), supervisé par la division TippingPoint qui notamment acquiert des informations sur des vulnérabilités non corrigées afin de créer des signatures de détection pour ses logiciels de protection contre les logiciels malveillants. Mais ZDI n’avait précisé que ces vulnérabilités affectent Windows Phone lors qu’elle les initialement divulguées.
Selon Microsoft, ZDI l’a notifié de vulnérabilités pour Internet Explorer dans Windows en 2014. Et l’éditeur a proposé des correctifs en juillet 2014 et mars dernier. ZDI s’est alors penché de nouveau sur ces vulnérabilités pour découvrir qu’elles affectent également Internet Explorer sur Windows Phone.
Ces vulnérabilités pour IE mobile ont été signalées à Microsoft. HP vient aujourd’hui de les dévoilés parce que l’éditeur n’a pas proposé de correctifs avant la fin de la fenêtre de 120 jours que ZDI laisse aux éditeurs pour réagir aux problèmes qui leurs sont signalés.
De son côté, ZDI n’a pas, pour l’heure, souhaité commenter l’incident.
Windows Phone ne compte que pour une petite minorité du marché des smartphones. Ce qui se traduit par un risque limité. De son côté, un porte-parole de Microsoft a reconnu « être au courant de ces rapports concernant Internet Explorer pour Windows Phone. Plusieurs facteurs devraient être combinés, et aucune attaque n’a été rapportée à ce jour. Nous continuons de surveiller la situation et nous prendrons les mesures appropriées pour protéger nos clients ».
Adapté de l’anglais.