Ce bug fait partie de la longue liste d'une centaine de nouvelles vulnérabilités découvertes grâce à cross_fuzz, un nouvel outil développé par le chercheur Michal Zalewski, travaillant chez Google.
Cette liste concerne aussi bien IE que les autres navigateurs majeurs, y compris Chrome et Safari, tous les deux fondés sur Webkit.
Un développeur de Webkit, qui collabore avec Zalewski, a publié accidentellement un rapport qui contient des liens vers le dossier où étaient stockés cross_fuzz et les détails des autres bugs généré par l'outil.
Ironiquement, les bots de Google n'ont pas raté ces liens et ont ajouté ces fichiers à l'index du moteur de recherche, rendant publiques des informations hautement sensibles, notamment sur le nouveau bug critique d'Internet Explorer
Tous comme les bots, des pirates chinois n'ont manifestement pas raté cette bourde puisque Zalewski se désole d'avoir enregistré des consultations de ces informations depuis une adresse IP localisée en Chine.
Bien que l'outil de recherche de vulnérabilités n'ait pas été téléchargé, un pirate chinois aurait lancé par la suite des recherches pointues sur les fonctions de MSHTML.DLL en relations directe avec la nouvelle faille critique d'Internet Explorer décrite dans le rapport des deux chercheurs.
Ce qui laisse croire que ce pirate (qui a par ailleurs rapatrié tous les autres rapports de bugs) connaissait déjà cette faille, ou du moins suspectait son existence selon Zalewski.
Devant cette situation, l'employé de Google s'est résigné à rendre son outil public, et ce avant même que Microsoft n'ait patché cette vulnérabilité.
Zalewski aurait même décliné la demande de Microsoft de reporter cette publication de peur que les pirates chinois ne soient déjà en mesure de l'exploiter. Pour sa défense, il affirme dans l'annonce qui accompagne la mise à disposition de cross_fuzz, qu'il avait notifié la présence de ce bug à Microsoft dès juillet 2010.
Microsoft aurait bien accusé réception de son message, mais sans donner d'autres signes de vie jusqu'en décembre. Pour demander le report de la publication de l'outil, donc.
Une situation qui n'est pas sans rappeler l'affaire Ormandy qui avait fait couler beaucoup d'encre et relancé le débat sur l'éthique des chercheurs en sécurité.
En attendant d'en savoir d'avantage, il semble que les experts de Microsoft et ceux de Google aient encore du mal à collaborer.
Source : le message de Zalewski, l'annonce de la sortie cross_fuzz
Et vous ?
Que pensez-vous de cette affaire ?En collaboration avec Gordon Fowler
Envoyé par hivenz
