Pour gérer vos consentements :

Microsoft corrige dans l’urgence une faille critique d’Internet Explorer

Microsoft a préféré de ne pas attendre le prochain bulletin de sécurité mensuel en septembre. L’éditeur vient de publier, en urgence, le correctif de sécurité MS15-093 afin de combler une faille critique qui frappe Internet Explorer. Référencée CVE-2015-2502, la vulnérabilité permet, par corruption de la mémoire, l’exécution de code distant par l’intermédiaire d’une page web spécialement créée à cet effet. Il faut donc que l’utilisateur soit amené à visiter cette page infectieuse. Une incitation souvent amenée par l’intermédiaire d’un message accrocheur dans un e-mail de phishing (à moins que l’attaque ne privilégie le vecteur d’une publicité corrompue).

« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur en cours », prévient l’éditeur de Redmond dans son alerte. Un utilisateur pourvu de droits d’administrateur risque donc de se voir plus impacté qu’un utilisateur aux droits limités. L’attaquant sera alors en mesure d’installer ce que bon lui semble sur la machine, d’en prendre le contrôle à distance et de récupérer toutes les données qui y sont stockées à loisir, voire de s’enfoncer dans le reste du réseau de l’entreprise.

Toutes les versions d’IE affectées

De IE7 à IE11, le bug de sécurité touche toutes les versions encore supportées (IE6 en est exclu) du navigateur historique de Microsoft. Son successeur Edge, exclusif à Windows 10, est visiblement épargné par le risque du jour. Mais si la faille d’IE est considérée comme critique pour les versions desktop de Windows Vista/7/10 et même RT (l’environnement dédié aux tablettes Surface sous architecture ARM), Microsoft la classe comme modérée pour les versions Server 2008, 2008 R2, 2012, 2012 R2. Windows Server 2003 n’étant plus supportée par Redmond depuis le 14 juillet, aucune référence n’y est faite. Mais il est très probable que la vulnérabilité y soit aussi présente.

Sur les environnements serveur, les paramètres d’IE sont préconfigurés par défaut pour limiter les surfaces d’attaque par exécution de code. D’où le classement modéré de la faille IE sur ces plates-formes par l’éditeur. Néanmoins, si les paramètres du navigateur ont été modifiés manuellement depuis la mise en route du serveur, il est possible que la vulnérabilité remonte au niveau critique. L’application du correctif est donc plus que recommandée, que ce soit automatiquement (par le service Windows Update généralement activé par défaut sur les postes utilisateurs) ou manuellement en téléchargeant le correctif adéquat (depuis cette page).


Lire également

Microsoft soigne la sécurité de son navigateur web Internet Explorer
Windows 10 : déjà la troisième mise à jour
Pourquoi Windows Server 2003 menace la sécurité du Web

crédit photo © i3d – shutterstock

Recent Posts

Gestion du risque IT : le top 10 des fournisseurs

Qui sont les têtes d'affiche de l'ITRM (gestion du risque IT) et comment leurs offres…

51 minutes ago

Orange : qui est Christel Heydemann, la nouvelle directrice générale ?

Christel Heydemann devrait être nommée directrice générale du groupe Orange ce 28 janvier. Retour sur…

3 heures ago

ESN : Inetum reprise par Bain Capital

Le fonds qatari Mannai qui possède 99% du capital d'Inetum est entré en négociation exclusive…

5 heures ago

CircleCI étend son offre gratuite face à GitHub Actions

CircleCI a procédé à un élargissement de son offre gratuite. Comment se positionne-t-elle désormais par…

6 heures ago

Log4j : SolarWinds rattrapé par la faille

On a découvert, dans l'un des logiciels de SolarWinds, une faille susceptible de favoriser des…

8 heures ago

Cloud : 4 points à retenir du rapport Aryaka

Adoption cloud, espace de travail hybride, convergence réseau et cybersécurité… La migration monte en puissance.

3 jours ago