Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Faille d’Internet Explorer : presser la touche F1 peut être risqué

Sécurité - Microsoft vient de publier un bulletin d’alerte pour mettre en garde les utilisateurs d’Internet Explorer sous Windows XP, Windows 2000 et Windows Server 2003 en raison de la présence d’une faille au niveau de VBScript et des fichiers Windows Help.

Vendredi dernier, un chercheur, Maurycy Prodeus, déclarait avoir découvert une faille de sécurité dans Internet Explorer et détaillait un scénario d’attaque permettant à un pirate d’exécuter arbitrairement du code sur une machine distante.

Microsoft a confirmé l’existence de cette vulnérabilité d’Internet Explorer au niveau de l’interaction entre VBScript et les fichiers d’aide Windows Help (.HLP), considérés comme peu sûrs. Le scénario d’attaque consiste à diriger l’internaute vers un site spécialement forgé et à l’amener à presser la touche F1. Une action qui provoque l’exécution de code sur un ordinateur vulnérable.

Scénario d’attaque : persuader l’internaute de presser F1

Selon Microsoft, cette attaque peut être conduite sur l’ensemble des versions d’Internet Explorer (6,7 et 8), mais uniquement sur Windows XP, 2000 et Server 2003. Les versions plus récentes de l’OS, Windows 7, Windows Server 2008 (dont R2) et Windows Vista, ne seraient elles pas exposées selon l’éditeur.

Sur le blog sécurité de Microsoft, David Ross du MSRC propose plusieurs solutions temporaires dans l’attente d’un correctif définitif. L’ingénieur recommande notamment d’éviter de presser la touche F1 lorsque l’internaute y est invité sur des pages Web. Si la boîte de dialogue apparaît à plusieurs reprises, il est en recommandé de fermer la session Windows ou de tuer le processus Internet Explorer dans le gestionnaire de tâches.

Le système Windows Help peut par ailleurs être désactivé par le biais d’une ligne de commande : « cacls "%windir%\winhlp32.exe" /E /P everyone:N ». La réactivation se fait grâce à la commande « cacls "%windir%\winhlp32.exe" /E /R everyone ».

Microsoft indique sur son bulletin d’alerte poursuivre l’examen de la faille. Celui-ci pourrait déboucher sur la diffusion d’un correctif lors du bulletin mensuel, ou, si cela s’avère nécessaire, par la mise à disposition d’un patch hors-cycle.

L’éditeur conclut en invitant une nouvelle fois à privilégier la divulgation responsable de failles de sécurité, ce qui selon Microsoft permet de ne pas exposer les utilisateurs à des risques d’attaque.

Ce mode de divulgation n’est toutefois pas nécessairement un gage de sécurité. En août 2009, Microsoft était ainsi informé par des chercheurs d’une vulnérabilité dans IE6. Or celle-ci n’a été corrigée qu’en janvier, après la médiatisation d’attaques contre des entreprises, dont Google.

par Christophe Auffray, ZDNet France. Publié le 2 mars 2010

Source :ZDNet