20-vulnerabilites-critiques-deuxieme-trimestre-2005-1

A Noël, exécutez du code à distance sur Internet Explorer

Internet Explorer est victime d’une nouvelle vulnérabilité publique. Aucune attaque constatée pour le moment mais cela risque de ne pas tarder.

Réveillon tendu en perspective pour les responsables sécurité informatique des entreprises. Microsoft vient d’émettre une nouvelle alerte de sécurité. Celle-ci affecte les versions 6, 7 et 8 de son navigateur Internet Explorer. « La conséquence principale de la vulnérabilité est l’exécution de code à distance », prévient l’éditeur qui poursuit ses investigations sur cette faille désormais publique et qui risque donc d’être exploitée à tout moment.

« Il existe une vulnérabilité due à la création de la mémoire non initialisée lors d’une fonction de CSS dans Internet Explorer, explique l’entreprise de Redmond. Il est possible sous certaines conditions que la mémoire serve d’effet de levier pour un attaquant qui exploiterait une page Web spécialement conçue pour exécuter du code à distance. »

En attendant un prochain correctif, l’éditeur émet quelques recommandations pour renforcer la sécurité des systèmes : choisir le mode protégé dans IE depuis Windows Vista pour limiter les droits utilisateur (et donc le pouvoir de l’attaquant sur la machine affectée); laisser le mode restreint (restricted mode) par défaut d’IE dans Windows Server 2003 et 2008 quite à configurer à la main l’accès aux sites web; ne pas activer les scripts et autres contrôles ActiveX depuis les clients de messagerie Outlook, Outlook Express et Windows Mail pour limiter l’impact éventuel d’un code contenu dans un courriel envoyé au format HTML.

Bref, des recommandations de base qui s’ajoutent aux indispensables outils de sécurisation habituels (antivirus, firewall…) et de la nécessité de faire preuve de bon sens (en évitant de cliquer aveuglément sur les liens « inconnu »). Une autre solution serait d’utiliser un navigateur alternatif à Internet Explorer mais selon la politique des entreprises, ce n’est pas toujours possible. Même à Noël?

Cloud : Accélérateur de Business

Tout savoir sur les atouts Cloud pour la DSI !
Accédez au site Cloud : Accélérateur de Business et découvrez les dossiers et articles dédiés au Cloud, visualisez les vidéos interviews et témoignages clients et téléchargez gratuitement les études et livres blancs.

Derniers commentaires




2 replies to A Noël, exécutez du code à distance sur Internet Explorer

  • Le 23 décembre 2010 à 15:54 par Yohann

    Effectivement,
    beaucoup d’entreprises ont des applications client léger testées uniquement sur IE6…

  • Le 25 décembre 2010 à 12:38 par Tomsav

    Et une faille de plus.
    Bravo M$. pour le cadeau de Noel!

Laisser un commentaire

  • Les champs obligatoires sont indiqués avec *,
    Votre adresse de messagerie ne sera pas publiée.

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

X
Connexion S'enregistrer

Connectez-vous pour accéder à tout notre contenu.
Si vous n'avez pas encore de compte,
S'enregistrer GRATUITEMENT

perdu ?
Connexion S'enregistrer

Enregistrez-vous gratuitement pour avoir un accès illimité à tout notre contenu.

Vérifiez votre email

Merci de votre enregistrement. Nous venons de vous envoyer un email contenant un lien pour confirmer votre adresse.
(si vous ne recevez pas l'email dans quelques minutes, vérifiez votre boîte spam).

Oh, vous avez perdu votre mot de passe ?

Pour recevoir votre mot de passe, entrez l'adresse email utilisée pour vous inscrire.

Ou essayer de vous connecter à nouveau.