Alors là, c'est la surprise du jour. La faille IE, présentée comme un 0-day, qui a été utilisée contre Google et une trentaine d'autre entreprise n'en est pas un.
En fait, Microsoft a été averti de l'existence de cette faille... en août dernier !
(Les emphases sont de mon fait).
Une lecture attentive du bulletin de sécurité Microsoft nous apprend que:
Or, une petite visite sur le site de BugSec (www.bugsec.com/ (http) ) plus tard, on découvre cela:Microsoft thanks the following for working with us to help protect customers:
Meron Sellem of BugSec for reporting the HTML Object Memory Corruption Vulnerability (CVE-2010-0249)
Là c'est pas évident. Mais cliquez sur le lien (www.bugsec.com/index.php?... (http) ) et vous découvrirez ceci:BugSec group’s On Line Fraud Research team, Versafe, found and reported a critical vulnerability in Internet Explorer in August 2009. The vulnerability was reported to Microsoft and treated on Jan. 21, 2010.
This vulnerability used for attack against Google's accounts and reported on Wednesday, August 26, 2009 2:54 PM (GMT +2:00).
Ouch ! #MegaFail !