Microsoft : une faille critique liée à MHTML sous Internet Explorer et Windows

Cet ordinateur portable n'est plus vendu
L'ordinateur portable présenté ci-dessous a été commercialisé en 2011, et n'est plus en vente. Depuis, de nombreux modèles plus récents et mieux équipés ont vu le jour.

Microsoft a publié un nouveau bulletin d’alerte de sécurité annonçant la découverte d’une faille critique de sécurité affectant toutes les versions de Windows et plus précisément Internet Explorer.

Internet Explorer 9

Cette vulnérabilité est liée à la façon dont MHTML interprète les requêtes MIME formatées pour des blocs de contenus à l’intérieur d’un document. Le MHTML peut en fait intégrer dans un unique ficher une page HTML et les fichiers associés (images, etc.). Et le fait est qu’Internet Explorer archive les pages Internet dans ce format.

Microsoft explique que la faille en question est similaire aux vulnérabilités de type XSS (cross-site scripting) côté serveur et que dans certaines conditions, elle peut être exploitée pour permettre à un individu malintentionné d’injecter un script côté client en réponse à une requête de site Web via Internet Explorer :

Le script pourrait voler du contenu, divulguer des renseignements ou entreprendre des actions que l’utilisateur pourrait effectuer sur le site internet affecté en lieu et place de l’utilisateur ciblé.

La firme de Redmond précise travailler avec ses partenaires du Microsoft Active Protections Program (MAPP) afin que l’information parvienne rapidement aux clients et fournisseurs d’accès Internet pour qu’ils puissent mettre en place des protections nécessaires.

Cette faille touche tous les Windows à l’exception de Windows Server 2008 et R2 s’ils sont installés en utilisant l’option Server Core.

Afin de se prémunir contre cette vulnérabilité qui pourrait déjà être exploitée par plusieurs malwares, Microsoft conseille de modifier les zones de sécurité Internet et Intranet local à Elevé pour les contrôles ActiveX et Active Scripting. Il suggère également d’activer le verrouillage du protocole MHTML ou encore de configurer Internet Explorer de façon à ce qu’il demande la permission avant d’exécuter un contrôle Active Scripting ou bien carrément de désactiver l’Active Scripting (Outils > Options > onglet Sécurité > Internet > Niveau personnalisé > sous Paramètres section Scripting sous Active Scripting clic sur Demander ou Désactiver, idem pour Internet Local).

Outre Internet Explorer, le navigateur Opera prend li aussi en charge le format MHTML mais aucune alerte n’a été émise à son sujet pour l’instant.

Toujours est-il que Microsoft indique également qu’il prendra les mesures nécessaires afin de protéger ses clients, en offrant une mise à jour de sécurité via le bulletin mensuel ou non.

[Source : Microsoft et LaptopSpirit]

Quel PC portable est fait pour vous ?
5 questions, moins d’une minute ! LaptopSpirit s’occupe du reste !
, , ,

Une réponse à “Microsoft : une faille critique liée à MHTML sous Internet Explorer et Windows”

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


8 + 1 =