S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Internet Explorer : une faille de sécurité activement exploitée

Un correctif mardi prochain

Alors qu’Adobe fait face à une fuite de sécurité particulièrement importante, les utilisateurs d’Internet Explorer vont devoir prendre leurs précautions. Une faille déjà exploitée a vu ses détails devenir publics, augmentant le risque d’une large exploitation. Bien que Microsoft ait déjà publié une solution temporaire, un correctif définitif se fait attendre.

ie11

Une faille exploitée depuis des semaines 

Sale temps pour la sécurité. Alors que le grand public découvre avec stupeur les répercussions de l’affaire Prism et le peu de cas qui est fait de leur vie privée, Adobe annonce que les informations personnelles de 2,9 millions de clients se retrouvent dans la nature. Et comme si cela ne suffisait pas, une faille touchant toutes les versions du navigateur le plus utilisé, Internet Explorer, est activement exploité.

 

La faille a été décrite pour la première fois le 17 septembre. À ce moment, Microsoft parlait essentiellement des versions 8 et 9 d’Internet Explorer, avant d’indiquer que toutes les versions actuellement supportées pouvaient être touchées. Dans la pratique, c’est bien le cas, et les moutures 10 et 11, intégrée à Windows 8 et 8.1, sont concernées, qu’il s’agisse de versions 32 ou 64 bits.

Située dans le moteur HTML, pour toutes les versions supportées 

La faille se situe au sein du moteur HTML d’Internet Explorer, dans le fichier mshtml.dll. Sur le site Common Vulnerabilities and Exposures (CVE), on peut ainsi lire que la brèche concerne l’implémentation de la fonction « SetMouseCapture ». Selon le propre bulletin de Microsoft, il existe un problème dans la manière dont le navigateur accède à un objet particulier en mémoire, qu’il ait été supprimé ou correctement alloué. La finalité est qu’un attaquant qui exploiterait la faille pourrait réussir à faire exécuter un code arbitraire sur la machine de l’internaute.

 

À ce moment-là, Microsoft indiquait encore que quelques attaques dirigées contre Internet Explorer 8 et 9 avaient été repérées. Une solution de type Fix-It avait donc été mise en place. Disponible comme souvent sous la forme d’un MSI, elle permettait de parer au plus urgent en modifiant certains réglages, évitant ainsi à la faille de fonctionner. Le problème étant évidemment que la faille elle-même était bien encore présente.

Le correctif définitif le mardi 8 octobre 

Le correctif, attendu depuis, n’est toujours pas disponible. Et les choses s’accélèrent car si quelques attaques avaient été recensées, les détails de la faille étaient restés confidentiels, ce qui n’est plus le cas aujourd’hui. Les informations d’exploitation ont en effet été intégrées dans le kit Metasploit. Dans la dernière version, publiée lundi, de ce framework destiné autant aux hackers qu’aux professionnels de la sécurité, tout le nécessaire est disponible pour une exploitation à plus large échelle.

 

Mais l’attente est presque terminée puisque le correctif définitif fera son apparition mardi prochain dans le lot des huit bulletins annoncés pour le mois d’octobre. Il s’agira d’ailleurs d’un patch cumulatif pour Internet Explorer, estampillé MS13-080. Que faire en attendant ? Si ce n’est pas déjà fait, appliquez la solution Fix-It qui permettra d’éviter les situations problématiques. Comme toujours, faites attention aux sites que vous visitez. Il reste également la possibilité d’utiliser un autre navigateur le temps que la brèche soit colmatée.

Source : CVE
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 04/10/2013 à 16:26

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 98 commentaires

Commentaire de Tchris supprimé le 04/10/2013 à 16:53:37 : Troll ou incitation au troll
Avatar de Vilainkrauko INpactien
Vilainkrauko Le vendredi 4 octobre 2013 à 16:32:40
Inscrit le mardi 24 février 09 - 4417 commentaires
Ne pas céder a la tentation ... ne pas céder a la tentation ...

Plus de 15 jour ??? sont pas pressé chez microsoft ...




l reste également la possibilité d’utiliser un autre navigateur le temps que la brèche soit colmatée.

Désolé mais j'ai craqué
Commentaire de Zyami supprimé le 04/10/2013 à 16:53:37 : Réponse à un commentaire supprimé
Avatar de Konrad INpactien
Konrad Le vendredi 4 octobre 2013 à 16:34:00
Inscrit le mardi 3 août 10 - 2173 commentaires
les utilisateurs d’Internet Explorer vont devoir prendre.



(j'imagine que c'était «prendre patience», je sais bouton Signaler toussa, mais c'était trop wigolo )
Avatar de lomic2 INpactien
lomic2 Le vendredi 4 octobre 2013 à 16:35:09
Inscrit le mardi 24 octobre 06 - 539 commentaires
ils vont devoir prendre oui mais quoi?

Il y a 98 commentaires

;