Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Une vulnérabilité critique d’Internet Explorer visée par des attaques

Sécurité - Une vulnérabilité confirmée fin décembre par Microsoft, mais non corrigée dans les bulletins de sécurité de janvier, fait actuellement l’objet d’attaques « limitées ». Pour réduire les risques, Microsoft propose aux entreprises un FixIt, un patch provisoire.

Le 22 décembre, Microsoft avait publié un bulletin d’alerte confirmant l’existence d’une faille non corrigée affectant les différentes versions d’Internet Explorer (hormis IE9, non encore finalisé).

Le 11 janvier, l’éditeur a mis à jour son bulletin d’alerte pour avertir ses utilisateurs d’attaques ciblant cette vulnérabilité zero-day. Selon Microsoft, ces exploitations restent cependant limitées.

Une vulnérabilité oubliée lors du Patch Tuesday de janvier

Pour rappel, la faille d’Internet Explorer permet potentiellement à un attaquant d’exécuter du code à distance via la mémoire utilisée par une feuille de style CSS. Windows XP, Windows Vista, Windows 7, Windows Server 2003 et 2008 sont affectés.

Afin de réduire les risques, Microsoft préconise notamment d’activer le mode protégé d’Internet Explorer sur les versions Vista et suivantes de Windows. Une exploitation réussie de la faille reste possible, mais l’attaquant disposera alors de droits limités sur le système vulnérable.

Outre ces modifications de configuration, Microsoft a mis au point un correctif provisoire, un FixIt. Sur son site Internet, l’éditeur précise que le programme « ajoute une vérification pour vérifier si une feuille de style en cascade est sur le point d’être chargés de manière récursive. Si tel est le cas, la solution FixIt annule le chargement de la feuille de style en cascade. »

La solution proposée par Microsoft est considérée comme originale puisqu’elle s’appuie sur un utilitaire (Microsoft Application Compatibility Toolkit) conçu en principe pour remédier aux problèmes de compatibilité applicative.

Le correctif réel pour la faille d’Internet Explorer ne devrait pas être diffusé avant, au mieux, le prochain Patch Tuesday, c’est-à-dire le 8 février. En effet, les correctifs de janvier ont déjà été délivrés par Microsoft, et ils ne prennent pas en compte les dernières failles de Windows et IE communiqués à l’éditeur par des chercheurs.

par La rédaction, ZDNet France. Publié le 13 janvier 2011

Source : zdnet.fr