Internet Explorer victime d’une faille de sécurité 0-Day sous Windows, Fix-it bientôt

Cet ordinateur portable n'est plus vendu
L'ordinateur portable présenté ci-dessous a été commercialisé en 2012, et n'est plus en vente. Depuis, de nombreux modèles plus récents et mieux équipés ont vu le jour.

Microsoft a publié un avis de sécurité concernant une faille de type 0-day dans son navigateur Internet Explorer sous Windows. Les versions 6 à 9 sont concernées mais un patch de type Fix-it devrait être mis à disposition d’ici quelques jours pour corriger la vulnérabilité.

Internet Explorer 9

Le navigateur de Microsoft, Internet Explorer (IE) dans ses versions 6, 7, 8 et 9 est donc touché par une faille de sécurité qualifiée de critique, et ce sous les systèmes Windows 7, Vista et XP.

Elle est qualifiée de Zéro-Day car elle a déjà été exploitée lorsqu’elle a été découverte ou que l’annonce a été publiée.

Cette faille est liée à la façon dont Internet Explorer accède à un objet qui a été supprimé ou n’a pas été alloué correctement ce qui peut corrompre la mémoire et permettre aux pirates d’exécuter du code arbitraire à distance. Une fois la machine de l’utilisateur infectée, elle est sous l’emprise du malware Poison Ivy.

Microsoft assure d’ores et déjà travailler à la publication d’un correctif qui devrait être disponible d’ici quelques jours. Il s’agira d’un Fix-it (patch) à installer par l’utilisateur, et non d’une mise à jour diffusée par Windows Update comme c’est habituellement le cas. Windows Update offrira toutefois la mise à jour en question plus tard, sans doute lors de la prochaine vague de mise à jour début octobre.

Microsoft précise à propos du Fix-it :

Alors que nous avons détecté quelques tentatives pour exploiter la faille, impactant un nombre limité d’utilisateurs, nous prenons cette mesure proactive afin de s’assurer que les utilisateurs d’Internet Explorer soient protégés et puissent surfer en ligne de façon sécurisée.

[Le Fix it] offrira une protection complète contre le problème jusqu’à ce qu’une mise à jour soit disponible. Son installation ne nécessitera pas de redémarrer l’ordinateur.

Il sera disponible auprès de tous ceux qui souhaitent le télécharger et l’installer dans les prochains jours.

En attendant, la firme de Redmond conseille de bloquer les contrôles ActiveX et Active Scripting : il suffit d’opter pour le niveau de sécurité maximal dans Options > Sécurité sous IE.

Elle conseille également d’installer et de configurer EMET (Enhanced Mitigation Experience Toolkit), un outil qui permet de limiter les risques. Vous pouvez le télécharger via cette page.

Cette faille est prise très au sérieux et la couverture médiatique à son sujet est de taille. L’administration allemande préconise de ne plus utiliser Internet Explorer jusqu’à ce qu’un correctif soit mis en ligne, ce qui semble une sage décision, d’autant que des alternatives existent (ex : Firefox, Chrome, Opera, Safari).

Notez enfin que le nouveau navigateur Internet Explorer 10, disponible pour l’instant uniquement sous les versions de tests de Windows 8, n’est pas affecté par la faille de sécurité selon Microsoft.

[Source : Microsoft]

Quel PC portable est fait pour vous ?
5 questions, moins d’une minute ! LaptopSpirit s’occupe du reste !
, , ,

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


+ 1 = 2