Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Internet Explorer : une faille de sécurité activement exploitée

Un correctif mardi prochain

Alors qu’Adobe fait face à une fuite de sécurité particulièrement importante, les utilisateurs d’Internet Explorer vont devoir prendre leurs précautions. Une faille déjà exploitée a vu ses détails devenir publics, augmentant le risque d’une large exploitation. Bien que Microsoft ait déjà publié une solution temporaire, un correctif définitif se fait attendre.

ie11

Une faille exploitée depuis des semaines 

Sale temps pour la sécurité. Alors que le grand public découvre avec stupeur les répercussions de l’affaire Prism et le peu de cas qui est fait de leur vie privée, Adobe annonce que les informations personnelles de 2,9 millions de clients se retrouvent dans la nature. Et comme si cela ne suffisait pas, une faille touchant toutes les versions du navigateur le plus utilisé, Internet Explorer, est activement exploité.

 

La faille a été décrite pour la première fois le 17 septembre. À ce moment, Microsoft parlait essentiellement des versions 8 et 9 d’Internet Explorer, avant d’indiquer que toutes les versions actuellement supportées pouvaient être touchées. Dans la pratique, c’est bien le cas, et les moutures 10 et 11, intégrée à Windows 8 et 8.1, sont concernées, qu’il s’agisse de versions 32 ou 64 bits.

Située dans le moteur HTML, pour toutes les versions supportées 

La faille se situe au sein du moteur HTML d’Internet Explorer, dans le fichier mshtml.dll. Sur le site Common Vulnerabilities and Exposures (CVE), on peut ainsi lire que la brèche concerne l’implémentation de la fonction « SetMouseCapture ». Selon le propre bulletin de Microsoft, il existe un problème dans la manière dont le navigateur accède à un objet particulier en mémoire, qu’il ait été supprimé ou correctement alloué. La finalité est qu’un attaquant qui exploiterait la faille pourrait réussir à faire exécuter un code arbitraire sur la machine de l’internaute.

 

À ce moment-là, Microsoft indiquait encore que quelques attaques dirigées contre Internet Explorer 8 et 9 avaient été repérées. Une solution de type Fix-It avait donc été mise en place. Disponible comme souvent sous la forme d’un MSI, elle permettait de parer au plus urgent en modifiant certains réglages, évitant ainsi à la faille de fonctionner. Le problème étant évidemment que la faille elle-même était bien encore présente.

Le correctif définitif le mardi 8 octobre 

Le correctif, attendu depuis, n’est toujours pas disponible. Et les choses s’accélèrent car si quelques attaques avaient été recensées, les détails de la faille étaient restés confidentiels, ce qui n’est plus le cas aujourd’hui. Les informations d’exploitation ont en effet été intégrées dans le kit Metasploit. Dans la dernière version, publiée lundi, de ce framework destiné autant aux hackers qu’aux professionnels de la sécurité, tout le nécessaire est disponible pour une exploitation à plus large échelle.

 

Mais l’attente est presque terminée puisque le correctif définitif fera son apparition mardi prochain dans le lot des huit bulletins annoncés pour le mois d’octobre. Il s’agira d’ailleurs d’un patch cumulatif pour Internet Explorer, estampillé MS13-080. Que faire en attendant ? Si ce n’est pas déjà fait, appliquez la solution Fix-It qui permettra d’éviter les situations problématiques. Comme toujours, faites attention aux sites que vous visitez. Il reste également la possibilité d’utiliser un autre navigateur le temps que la brèche soit colmatée.

98 commentaires
Avatar de Tchris INpactien
Avatar de TchrisTchris- 04/10/13 à 14:30:59
Édité par Tolor le 04/10/2013 à 14:53
Avatar de Vilainkrauko Abonné
Avatar de VilainkraukoVilainkrauko- 04/10/13 à 14:32:40

Ne pas céder a la tentation ... ne pas céder a la tentation ... :D

Plus de 15 jour ??? sont pas pressé chez microsoft ... :roll:

l reste également la possibilité d’utiliser un autre navigateur le temps que la brèche soit colmatée.

Désolé mais j'ai craqué :francais:

Avatar de Zyami Abonné
Avatar de ZyamiZyami- 04/10/13 à 14:33:40
Édité par Tolor le 04/10/2013 à 14:53
Avatar de Konrad INpactien
Avatar de KonradKonrad- 04/10/13 à 14:34:00

les utilisateurs d’Internet Explorer vont devoir prendre.

:bravo:

(j'imagine que c'était «prendre patience», je sais bouton Signaler toussa, mais c'était trop wigolo :D )

Avatar de lomic2 INpactien
Avatar de lomic2lomic2- 04/10/13 à 14:35:09

ils vont devoir prendre oui mais quoi? :mdr:

Avatar de dematbreizh Abonné
Avatar de dematbreizhdematbreizh- 04/10/13 à 14:35:22
Édité par Tolor le 04/10/2013 à 14:54
Avatar de Glyphe INpactien
Avatar de GlypheGlyphe- 04/10/13 à 14:35:28

IE reste le plus mauvais navigateur, même dans ses toutes dernières version, si on se base sur le côté sécurité.

Il suffit de prendre l'exemple du Browser Pivoting qui n'est même pas une faille mais l'exploitation d'une fonctionnalité qui permet tout simplement d'accéder à tout site visité par l"utilisateur et ce quelque soit le mode d'authentification nécéssaire ...

Tout simplement hallucinant, je vous invite à regarder la vidéo !

Avatar de Indus INpactien
Avatar de IndusIndus- 04/10/13 à 14:39:22
Édité par Tolor le 04/10/2013 à 14:53
Avatar de dargos INpactien
Avatar de dargosdargos- 04/10/13 à 14:41:33

ah ! c'est trolldi :mdr:

Avatar de Aloyse57 Abonné
Avatar de Aloyse57Aloyse57- 04/10/13 à 14:42:49
Édité par Tolor le 04/10/2013 à 14:53
Il n'est plus possible de commenter cette actualité.
Page 1 / 10