Microsoft a publié une mise à jour critique pour Internet Explorer. Toutes les versions actuellement supportées du navigateur sont touchées et les utilisateurs sont enjoints à aller chercher le correctif dans Windows Update.
Les mises à jour de sécurité pour Windows sont le plus souvent distribuées le deuxième mardi de chaque mois, dans ce que l’on a coutume d’appeler les Patch Tuesdays. Il arrive cependant qu’en cas de faille majeure et/ou déjà exploitée, le cycle soit cassé et qu’un correctif soit mis à disposition, sans attendre le Patch Tuesday suivant. C’est souvent le signe qu’il ne faut pas attendre pour l'installer, l’éditeur ne bousculant pas ses habitudes sans raison.
Dans le cas présent, il s’agit d’un correctif pour Internet Explorer. Toutes les versions en cours de support sont touchées :
- Internet Explorer 7 : Vista, Windows Server 2008
- Internet Explorer 8 : Vista et Windows 7, Windows Server 2008 et 2008 R2
- Internet Explorer 9 : Vista et Windows 7, Windows Server 2008 et 2008 R2
- Internet Explorer 10 : Windows 7, 8 et RT, Windows Server 2008 R2 et 2012
- Internet Explorer 11 : Windows 7, 8.1, RT 8.1 et 10, Windows Server 2008 R2 et 2012 R2
La version intégrée à Windows 10 est donc touchée, et même si Edge n’est pas concerné, le correctif est tout aussi important. On notera que le bulletin de sécurité mentionne un niveau critique pour l’ensemble des Windows clients, et modéré pour les serveurs. Comme d’habitude, le type de compte joue une grande importance et ceux qui ont des droits classiques (donc non administrateurs) seront moins impactés.
La vulnérabilité elle-même réside dans la manière dont le navigateur accède à certains objets en mémoire. Il peut donc y avoir corruption de cette dernière, permettant à un pirate de faire exécuter un code arbitraire à distance. Deux précisions cependant. D’une part, la faille ne peut pas être exploitée automatiquement et l’attaquant a besoin de conduire l’utilisateur à cliquer sur un lien dans une page spécialement conçue. D’autre part, il n’y a pas d’escalade de privilèges et le code exécuté dispose donc des mêmes droits que le compte actif.
Sachez par ailleurs que la faille a été découverte et documentée par Clement Lecigne de chez Google, remercié par Microsoft pour l'occasion.
La méthode la plus rapide reste de télécharger le correctif dans Windows Update. Ceux qui préfèrent récupérer un exécutable d’installation pourront cependant le faire depuis cette page.
Commentaires (30)
#1
Avec tous ces trous, L’enterrement final sera une trivialité
#2
IE touché sous XP également ?
#3
de mémoire c’est ie 8, donc oui
#4
XP est déja une passoire a l’heure actuelle. (failles persistantes ad eternam).
Que IE sont impacté est sans importance.
XP c’est IE 6 et suivants
#5
#6
Xp c’est de IE6 à IE8 uniquement
#7
J’ai la news pour IE mais les commentaires de l’article sur les DRM
#8
Reviendu la normale.
#9
#10
ça fait une nouvelle feature premium : le random comment : on écrit sous une news, mais le commentaire est inséré aléatoirement dans l’une des autres du jour
#11
#12
Avoue que ça peut rendre le travail de modo un peu plus marrant
" />
#13
est-ce que cette “découverte” de trous sous IE n’est pas opportune pour inciter les Mme Michu à passer sous Edge ?
#14
Avant de passer sous Edge, il faut déjà passer sous Windows 10.
Et pour l’instant, malgré les “incitations” de Microsoft, c’est pas gagné…
#15
Pour le coup j’ai pas compris. Mon 5C semble ne pas aimer Opera… 
" />
#16
#17
#18
Ça m’agace, maintenant quand je fais un Windows Update sous mon W7 ça me met Téléchargement de W10, alors que j’ai désinstallé GWX. 
" />
#19
J’ai installé un XP hier et j’avais une mai se sécurité de août 2015, peut être qu’elle a été patcher sur XP également car j’avoue avoir été surpris de cette mise a jour.
#20
Sous Seven, Windows update me demande d’installer d’abord W10 avant de vérifier s’il existe de nouvelles mises à jour.
" />
" />
En fait,
#21
faut désinstaller la màj KB 3035583 puis la masquer dans celles proposées
#22
#23
Arf… pas eu besoin d’aller jusque là, mais d’autres pistes :
http://www.dedoimedo.com/computers/windows-7-to-10-gwx-how-to-remove.html
ou alors faire un reset du cache de win update mais je sais plus comment ça se fait
#24
HS avec la news mais d’autres ce sont vu proposer une mise à jour de Silverlight ces derniers jours ?
Je pensais que plus rien ne serai proposé.
#25
Suffit d’arrêter le service Windows Update et renommer le dossier SoftwareDistribution dans C:\Windows
#26
#27
AVec la quantité de dab encore sous xp je suis pas vraiment du même avis quand à l’importance d’un tel fait. Après il est vreai qu’ils ont des protection supplémentaire et un accès au web très restreint…normalement.
#28
ce n’est pas le meme XP, c’est la version embarqué, elle a encore des MAJ normalmeent
#29
J’explique le problème, j’ai désinstallé la KB qui amène le GWX, mais à chaque fois que je télécharge une mise à jour dans Windows Update s’affiche au dessus de la barre de progression “ Téléchargement de Windows 10 ” alors que ça ne devrait plus être le cas.
#30
interessant ce tuto, merci bien!