Nouvelle faille de sécurité dans Internet Explorer toute versions

GregNews

Une nouvelle faille de sécurité a été découverte sur Internet Explorer toutes versions, même la version IE8 donc, cette faille a été remontée par Microsoft eux même sur un bulletin publié à cette adresse : http://www.microsoft.com/technet/security/advisory/2501696.mspx

Que permet cette faille ? Cette faille permet d’insérer un fichier malveillant sur l’ordinateur via une simple page web html et sans demande de confirmation de votre part, je vous laisse imaginer les fichiers potentiellement dangereux …

Comment cette intrusion est possible ? Techniquement la page web html va appeller une autre page/fichier par la fonction d’archive de MHTML
MHTML est un format de fichier ouvert et normalisé par l’IETF (Internet Engineering Task Force) et qui permet de créer un fichier HTML contenant tous les éléments externes de cette page, au format MIME. Ce dernier, signifiant Multipurpose Internet Mail Extensions, a été créé pour que puissent transiter par email l’ensemble des données non-textuelles.

Comment corriger cela ? Et bien 4 possibilités :

  • Passer les zones de sécurité Internet et Intranet local à « Élevé » pour les contrôles ActiveX et Active Scripting
  • Configurer Internet Explorer pour toujours demander la permission avant d’exécuter un contenu Active Scripting, ou désactiver complètement ce dernier (Menu Outils, Options Internet, onglet sécurité, Internet puis Niveau personnalisé, sous Paramètres, section Scripting, sous Active Scripting, cliquer sur Demander ou Désactiver, même opération pour Intranet local).
  • Attendre le patch de correction de Windows
  • Changer de navigateur web vers Firefox (par exemple)

Quel OS ? Tout les systèmes d’exploitations de Windows sont concernés :

  • Windows XP, Service Pack 3 inclus
  • Vista, Service Pack 2 inclus, 32 et 64 bits
  • Windows 7, 32 et 64 bits
  • Windows Server 2003, Service Pack 2 inclus, 32 et 64 bits (x64 et IA64)
  • Windows Server 2008, Service Pack 2 inclus, 32 et 64 bits (x64 et IA64)
  • Windows Server 2008 R2, 32 et 64 bits (x64 et IA64)

Sachez qu’il est possible maintenant de choisir le navigateur internet a installer sur Windows Seven (surtout pas IE!)

Texte de rapport de bug de Microsoft :

Microsoft étudie de nouveaux rapports publics d’une vulnérabilité dans toutes les versions de Microsoft Windows. Cette vulnérabilité pourrait permettre à un attaquant de causer une victime pour exécuter des scripts malicieux lors de la visite de divers sites Web, entraînant la divulgation d’informations. Cet impact est similaire à côté serveur cross-site scripting (XSS). Microsoft est au courant des informations publiées et de validation de code-concept qui tente d’exploiter cette vulnérabilité. À ce moment, Microsoft n’a pas vu de signes de l’exploitation active de la vulnérabilité.

Il existe une vulnérabilité due à la manière MHTML interprète les requêtes au format MIME pour les blocs de contenu dans un document. Il est possible sous certaines conditions pour que cette vulnérabilité permettrait à un attaquant d’injecter un script côté client dans la réponse d’une requête Web s’exécutent dans le contexte d’Internet Explorer de la victime. Le script pourrait usurper du contenu, divulguer des informations ou entreprendre toute action que l’utilisateur pourrait effectuer sur le site Web affecté au nom de l’utilisateur ciblé.

Nous travaillons activement avec nos partenaires dans Microsoft Active Protections Program (MAPP) de fournir des informations qu’ils peuvent utiliser pour fournir des protections plus larges pour les clients.

Nous collaborons avec des fournisseurs de services pour enquêter solutions côté serveur, mais nous recommandons d’appliquer une ou plusieurs des solutions de contournement côté client dans la section Mesures proposées de ce conseil afin d’aider à bloquer certains vecteurs d’attaque potentiels quel que soit le service.

À l’issue de cette enquête, Microsoft prendra les mesures appropriées afin de protéger nos clients. Il peut s’agir de fournir une mise à jour de sécurité grâce à notre processus de libération par mois ou de prévoir un out-of-cycle à jour de sécurité, en fonction des besoins du client.

Dans le même sujet :

  1. Windows Seven (7) sans Internet Explorer ?
  2. Faille sur Facebook
  3. Télécharger Google Chrome pour Windows 8
  4. Comment doubler la vitesse de votre navigateur internet ?
  5. On a testé pour vous la commande Macdonald’s sur internet

2 thoughts on “Nouvelle faille de sécurité dans Internet Explorer toute versions

  1. Ils sont pas fatigués chez microsoft de toujours corriger des failles, ca irait plus vite de faire dès le début des logiciels en réfléchissant un peu aux failles….

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *