Microsoft vient d'annoncer qu'une faille de sécurité de type « 0-day » avait été identifiée dans Internet Explorer 6, 7 et 8, que ce soit sous Windows XP, Vista ou 7. La société de Redmond est sur la brèche, mais aucun correctif n'est disponible pour le moment.
La faille dévoilée par Microsoft est de type « 0-day », ce qui signifie qu'elle est d'ores et déjà exploitée. En effet, la société de Redmond annonce qu'elle « a connaissance d'attaques ciblées qui tentent d'exploiter cette vulnérabilité via Internet Explorer 8 ». De plus, elle ajoute qu'Internet Explorer 6 et 7 sont également touchés, mais que les moutures 9 et 10 sont épargnées. Du côté des systèmes d'exploitation, Windows XP, Vista et 7 ainsi que Windows Server 2003 et 2008 sont concernés.
La faille se situe dans la gestion de la mémoire du navigateur qui, via une page web spécialement conçue, permet d'exécuter du code à distance avec les mêmes droits que l'utilisateur identifié sur la machine. Microsoft recommande donc à ses clients concernés d'éviter de suivre un lien envoyé par un inconnu via un mail ou bien depuis une messagerie instantanée : il pourrait conduire à une page piégée.
À l'issue de l'enquête qui est en cours, la société annonce qu'elle prendra « des mesures appropriées afin de protéger ses clients », soit via un patch inclus dans le cycle des mises à jour classique qui a lieu tous les mois, soit de manière autonome.
Commentaires (87)
#1
La faille (…) permet d’exécuter du code à distance avec les mêmes droits que l’utilisateur identifié sur la machine.
Sachant que la majorité des particuliers et que bons nombres de professionnels ont pour session d’usage une session admin, il y a de quoi faire de gros dégats.
#2
IE6 est toujours supporté d’ailleurs ? Ca s’arrête en 2014 comme XP et Office 2003 ?
#3
Commentaire qui ne sert à rien.
Pourquoi cela ne m’étonne qu’à moitié lorsque le lis çà :
La faille dévoilée par Microsoft est de type « 0-day », ce qui signifie qu’elle est d’ores et déjà exploitée.
#4
#5
Encore un p’tit effort Internet Explorer 6 Countdown " />
#6
Il y a des Vista/7 qui restent sous Internet Explorer 8 ? Sérieusement " />
#7
” Microsoft recommande de ne plus aller sur Internet… “
#8
#9
J’utilise aussi Windows avec lequel je scan uniquement ponctuellement mes disques… Je vois pas l’utilité de laisser tourner l’antivirus H24, c’est pas comme si le virus allait apparaître sur ma machine comme par magie. Mais pour ça, faut évidement fermer la porte de chez soi avec un firewall.
#10
#11
#12
Bien fait pour les utilisateur et microsoft qui ne force pas la mise à jours vers les dernières bonne version d’IE.
Moi ce que je souhaite c’est que tout ceux ayant ces version d’IE perdent l’intégralité de leur données. Au moins comme ca la prochaine fois il arrêteront de rester sur des système/version de navigateur datant de l’antiquité comme le couple XP/IE 6.
Et franchement " /> à microsoft qui ne force pas la mise à niveaux vers la dernière version comme absolument tous les autres navigateurs du marché.
#13
#14
#15
#16
#17
#18
#19
#20
#21
#22
#23
#24
#25
#26
#27
#28
#29
#30
#31
#32
#33
#34
#35
#36
#37
#38
#39
#40
#41
#42
#43
#44
#45
#46
#47
#48
#49
#50
#51
#52
#53
#54
#55
#56
#57
#58
#59
#60
#61
Les failles, ça a des avantages. ça fait travailler les développeurs boucheurs, les marketeux de la sécurité, les rédacteurs de news informatiques et ça donne de la crédibilité à la concurrence.
Bref, les failles, c’est bon pour l’emploi.
#62
#63
De plus, elle ajoute qu’Internet 6 et 7
Qu’est-ce que c’est ?
#64
#65
#66
#67
#68
#69
#70
Microsoft recommande donc à ses clients concernés d’éviter de suivre un lien envoyé par un inconnu via un mail
Trop bien le patch de sécurité ! On sent que chez M$ ca ne plaisante pas !
A ce compte là moi je recommande de ne pas naviguer avec IE, c’est plus simple et plus sécurisé.
#71
#72
#73
#74
#75
#76
La faille se situe dans la gestion de la mémoire du navigateur qui, via une page web spécialement conçue, permet d’exécuter du code à distance avec les mêmes droits que l’utilisateur identifié sur la machine.
Ah ? La mémoire DATA du programme IE n’est pas flaggué “NOEXEC” ? Mais quand apprendront-ils ?