Les développeurs de logiciels et les utilisateurs d'ordinateurs s'inquiètent sérieusement du nombre croissant de cyberattaques. Les utilisateurs de PC à domicile, les petites entreprises et même les grandes entreprises ont perdu des millions de dollars après que leurs PC ont été détournés par des virus ransomware, tels que Cryptolocker, FBI, Ukash, Locky et bien d'autres. Alors que les attaques de ransomwares sont les plus graves, il existe de nombreuses autres méthodes que les pirates utilisent pour réaliser des bénéfices en faisant chanter les gens. Les géants de la technologie, dont Microsoft, ont toujours travaillé dur pour assurer la protection des utilisateurs, mais apparemment, il y a des centaines de programmeurs professionnels parmi les hackers qui parviennent à exploiter le moins de sécurité vulnérabilités. Il s'agit d'un problème permanent, qui est largement discuté sur Internet et diverses mesures sont prises pour empêcher les pirates d'arnaquer les gens.
Récemment, Microsoft est tombé dans une situation peu enviable après que l'équipe de recherche en sécurité Project Zero de Google a révélé une vulnérabilité grave dans les navigateurs Web Microsoft Edge et Internet Explorer à la fin du mois de novembre 2016. La vulnérabilité (indexée sous le nom CVE-2017-0038) est connue sous le nom de bogue de confusion de type, qui provient du fichier HTML dans lequel JavaScript reformate les propriétés StyleSheet d'un tableau HTML. Par conséquent, la confusion de type est à l'origine de la faille de sécurité du navigateur Web. Comme l'a souligné la National Vulnerability Database, ce bogue « permet aux attaquants distants d'exécuter du code arbitraire via des vecteurs impliquant une séquence de jetons de feuilles de style en cascade (CSS) et un code JavaScript conçu qui fonctionne sur un [en-tête de table] élément."
Project Zero a informé Microsoft de la faille IE/Edge le 25 novembre 2016 et a donné 90 jours pour publier le correctif. Sinon, le Project Zero divulguera publiquement les détails de la vulnérabilité. Microsoft a reconnu le problème et, selon nous, a travaillé dur pour corriger la fissure, mais en vain. Il était prévu que le correctif soit publié avec le Patch Tuesday de février, qui, malheureusement, a été annulé pour des raisons encore inconnues. Le Patch Tuesday habituel est prévu pour mars uniquement. Jusqu'à ce que Microsoft publie le correctif, les experts en sécurité recommandent aux utilisateurs de prendre des mesures de précaution et de s'appuyer sur Google Chrome (version 64 bits) au lieu d'Edge ou d'IE. En outre, le passage à Windows 10 à partir de versions antérieures est également une mesure de précaution hautement recommandée.
Une autre question brûlante liée au bogue Edge et IE de Microsoft est de savoir si les gens doivent faire confiance aux correctifs tiers ou non. Acros Security a dévoilé un correctif temporaire pour une vulnérabilité de confusion de type Internet Explorer et Edge, qui peut empêcher l'exécution de codes malveillants. Acros Security vise les vulnérabilités non corrigées, les produits en fin de vie et non pris en charge, les logiciels tiers vulnérables et similaires. Il est précisé que ce correctif est applicable pour la plupart des vulnérabilités exploitables (par exemple, les chaînes de format, la plantation binaire, les injections de DLL, les tampons non vérifiés, les correctifs de données, etc.). Néanmoins, Microsoft ne recommande pas aux utilisateurs de Windows de faire confiance aux correctifs tiers. Alors que les développeurs d'Acros Security 0patch prétendent que le correctif est annulé dès que l'utilisateur installe le correctif officiel publié par le fournisseur du système d'exploitation. Cependant, selon le professionnel de la sécurité Chris Goettl, « Une fois que Microsoft aura publié un correctif, s'installera-t-il par-dessus les modifications de 0Patch? Si des problèmes surviennent, cela laisse l'utilisateur/l'entreprise dans une zone grise. » Par conséquent, pour obtenir un soutien total et tous correctifs disponibles auprès de Microsoft, vous feriez mieux de ne pas autoriser des tiers à modifier les composants de Microsoft dans aucun chemin.