Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Une nouvelle faille d’Internet Explorer est attaquée

Sécurité - Microsoft met en garde les utilisateurs d’Internet Explorer 6 et 7 sous Windows 2000, XP, Vista et Server 2003 et 2008, contre l’exploitation d’une vulnérabilité du navigateur. IE8 et Windows 7 ne sont pas affectés selon l’éditeur, qui reconnaît que des attaques ont été constatées.

Microsoft vient de nouveau de publier un bulletin d’alerte pour informer les utilisateurs Internet Explorer 6 et 7 de la découverte d’une faille de sécurité, non corrigée. Cette vulnérabilité permet à un attaquant d’exécuter à distance du code sur une machine vulnérable prévient l’éditeur dans son bulletin.

Selon Microsoft, seules les versions 6 et 7 du navigateur Internet Explorer sont concernées pour les éditions Windows 2000, XP, Vista, Windows Server 2003 et Server 2008 de son système d’exploitation. Windows 7 et Internet Explorer 8 ne seraient ainsi pas affectées par cette nouvelle faille.

Le curseur de sécurité d’Internet Explorer doit être placé sur "haut"

Les utilisateurs d’IE sont invités à appliquer plusieurs recommandations afin d’éviter l’exploitation de cette vulnérabilité déjà attaquée d’après Microsoft. La firme américaine recommande notamment de migrer vers Internet Explorer 8, non affecté.

Par ailleurs, Microsoft invite les utilisateurs à activer le mode protégé du navigateur sur Windows Vista et les versions antérieures de l’OS afin de limiter l’impact d’une exploitation réussie de la vulnérabilité par un attaquant.

Par le biais de cette faille, un pirate peut obtenir des droits équivalents à celui d’un utilisateur local. Il est donc impératif (d’ailleurs pas seulement pour cette vulnérabilité) de ne pas attribuer des droits administrateurs sur les postes.

Trois failles majeures dans IE depuis janvier 2010

En ce qui concerne Windows Server 2003 et Windows Server 2008, Microsoft rappelle que la configuration positionne par défaut sur haut le niveau de sécurité de zone dans Internet Explorer. Ce paramétrage réduit les risques d’attaque sur les sites ne faisant pas partie de la zone de confiance.

Bloggeur sur ZDNet.com, Ryan Naraine encourage par ailleurs les internautes à envisager une migration vers un navigateur alternatif, et à quelques paramétrages supplémentaires pour Internet Explorer : modification de la fonction Access Control List (ACL) sur iepeers.dll, configurer IE en niveau de sécurité élevé afin de bloquer les ActiveX, ou encore activer DEP pour IE6 SP2 et IE7.

Pour Microsoft, cette nouvelle divulgation de faille fait mauvaise presse. Depuis janvier, c’est la troisième vulnérabilité de sécurité majeure dans Internet Explorer qui fait l’objet d’un bulletin d’alerte.

En tout début d’année, une faiblesse d’IE6 était exploitée dans des attaques contre des entreprises américaines, dont Google. Le 1er mars, Microsoft mettait en garde les utilisateurs d’IE6, 7 et 8 contre un scénario d’attaque faisant appel à la touche F1 pour exploiter une vulnérabilité. Le 3 février, c’était une faille touchant les versions 6, 7, et 8 d’Internet Explorer, sous Windows XP.

par Christophe Auffray, ZDNet France. Publié le 10 mars 2010

Source :ZDNet