Internet Explorer : une faille critique pour toutes les versions

Encore une fois : attention aux sites visités 85
La semaine dernière, Microsoft a publié les bulletins de sécurité du mois de décembre. Il s’agissait d’un record, puisque selon la version de Windows, on pouvait corriger jusqu’à 28 failles de sécurité. Toutefois, peu de temps après la publication, il est apparu qu’une faille dans Wordpad n’avait pas été corrigée. Il en est de même pour certaines versions d’Internet Explorer.

ie8

Un autre bulletin a donc été mis en ligne pour avertir les professionnels de l’informatique du comment du pourquoi. Les versions touchées d’Internet Explorer sont les suivantes :
  • Internet Explorer 5.01 Service Pack 4
  • Internet Explorer 6 Service Pack 1
  • Internet Explorer 7
  • Internet Explorer 8 Bêta 2
Toutes les versions de Windows bénéficiant d’un support technique sont touchées :
  • Windows XP Service Pack 2
  • Windows XP Service Pack 3
  • Windows Server 2003 Service Pack 1
  • Windows Server 2003 Service Pack 2
  • Windows Vista
  • Windows Vista Service Pack 1
  • Windows Server 2008
La faille se situe au niveau du traitement de certaines données XML et peut conduire à la fermeture du navigateur qui reste alors dans un état non sécurisé. Au maximum, l’exploitation de la faille, qui existe déjà selon Microsoft, conduit l’attaquant à obtenir les mêmes droits que l’utilisateur. Si celui-ci bénéficie d’un compte standard, la machine sera moins impactée qu’avec un compte administrateur. De même, sous Vista et Windows Server 2008, le mode protégé limitera les dégâts.

Comme pour la faille sur Wordpad, Microsoft indique travailler à une solution.