Vulnérabilité critique non corrigée dans Internet Explorer (17/09/12)
RESUME : Un nouveau défaut de sécurité a été
identifié dans le navigateur Microsoft Internet Explorer. L'exploitation
d'une erreur dans la fonction CMshtmlEd::Exec() permet à
un individu malveillant ou à un virus d'exécuter à
distance du code malicieux sur l'ordinateur de sa victime à
l'ouverture d'une page web ou d'un courriel piégé.
LOGICIEL(S) CONCERNE(S) : Microsoft Internet Explorer 9.0
Microsoft Internet Explorer 8.0
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0
LOGICIEL(S) NON CONCERNE(S) :Microsoft Internet Explorer 10.0 (intégré à Windows
[Vous devez être inscrit et connecté pour voir cette image] RISQUE : Critique
CORRECTIF : Aucun correctif n'est disponible pour le moment car ce
défaut de sécurité a été découvert alors qu'il était probablement déjà
être exploité de façon malveillante (0-day), via un exploit ciblant le
système Windows XP. Des spécialistes en sécurité ayant rendu public un
exploit amélioré fonctionnant sous l'ensemble des systèmes Windows
actuellement en vigueur, la menace est encore accrue.
En attendant la publication d'un correctif officiel, les utilisateurs concernés peuvent appliquer les mesures
suivantes afin de réduire les risques d'exploitation malveillante
:
- se montrer particulièrement vigilant dans son utilisation
d'Internet, notamment vis-à-vis des fichiers douteux, des
liens hypertextes non sollicités ou des sites web non reconnus
comme sûrs ;
- configurer son logiciel de messagerie pour afficher les messages au format
texte plutôt que HTML (menu Outils > Options > onglet
Lecture > cocher "Lire tous les messages en texte clair"
dans Outlook Express ou Outils > Options > onglet Préférences
> bouton Options de la messagerie > cocher "Lire tous
les messages standard au format texte brut" dans Outlook)
;
- télécharger et installer l'utilitaire Trousse à outils EMET
(Enhanced Mitigation Experience Toolkit) pour rendre plus difficile
l'exploitation des vulnérabilités sous Windows (pas seulement celle-ci)
voire installer et utiliser un autre navigateur web, tel que Mozilla Firefox ou Opera ;
- installer un logiciel antivirus et vérifier qu'il est paramétré pour se mettre à jour automatiquement. Les éditeurs publient
généralement de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
des failles de sécurité.
L'éditeur du logiciel n'a pour le moment donné aucune
information quant à la publication d'un correctif officiel. Les
utilisateurs concernés peuvent également s'abonner
gratuitement à la lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.