Dernières actualités
- Résumé de l'actualité de la semaine ...
- Spam : trois techniques en une pour parvenir à ...
- Plan social chez HP : 480 salariés français ...
- Nouvelle technologie de communication basée sur ...
- Télécharger les meilleurs logiciels de la ...
- Alliance entre Hewlett-Packard et MySpace
- Lancement de la production du robot HAL au Japon
- Mail Goggles : réfléchir avant d'envoyer un ...
- e-services publics : utilisateurs nombreux et ...
- Microsoft : 11 mises à jour de sécurité ...
- Cyberlink verse un peu plus Linux avec PowerDVD ...
- Hausse des adwares liés à des faux antivirus
- Le noyau Linux en version 2.6.27
- Des Eee Box livrées avec un virus
- Facebook : le réseau social fait son trou en ...
- Fibre optique : Free est satisfait et veut ...
- Apple fait son Patch Tuesday avant Microsoft
- Virtual Earth : 460 millions de km carrés à ...
- Firefox 3.1 : bêta 1 la semaine prochaine, la 2 ...
- Les hackers utlisent Google Trends Labs pour vous ...
Derniers dossiers
Produit du jour : AvanQuest Bien communiquer sur Internet sous Windows XP à partir de 10.00 € (Logiciel)
22/11/2005 10:31 par Ange-Gabriel C. |
17 commentaire(s) 17 nouveau(x)
Un code permettant d'exploiter une faille non résolue d'Internet Explorer circule sur le Web, mettant des millions d'internautes en danger.
Qualifié de "zero-day exploit" (faille à exploitation immédiate) par plusieurs firmes de sécurité informatique, un code autorisant l'exploitation d'une vulnérabilité du navigateur Internet Explorer de Microsoft circule en ce moment sur le Web.
Publié à partir du Royaume-Uni par le groupe de travail Computer Terrorism, l'exploit de ce programme malicieux permettrait la prise de contrôle à distance de PC sous Windows au moyen d'un simple clic sur un lien infecté. Le Microsoft Security Response Center, qui traite à Redmond de ce genre de menace, devrait publier un avertissement de sécurité dans les prochains jours.
Chez Microsoft, on reconnaît que suite à une erreur d'appréciation, cette faille (sous Windows 2000 Service Pack 4 et Windows XP Service Pack 2) n'a pas reçu l'attention qu'elle méritait, et qu'elle a été, à tort, considérée comme "moyennement critique", au lieu d'être classée parmi les "hautement critiques"… A Redmond, on souligne également que Windows Server 2003, avec ou sans le Service Pack 1, n'est pas concerné, même en configuration par défaut, sous réserve que l'utilitaire de Configuration de Sécurité Avancée soit activé.
En attendant une riposte de l'éditeur, tous les spécialistes du secteur s'accordent pour dire qu'il vaut mieux surfer sur le Web au moyen d'autres navigateurs Internet –les plus souvent cités sont Mozilla Firefox et Opera— et de rester extrêmement prudent.
La preuve que l'exploitation de cette faille est possible peut être consultée sur le site de la FrSirt; en suivant les instructions, vous devriez, sous Internet Explorer, voir la Calculatrice de Windows se lancer "toute seule", mais il est facile d'imaginer ce qu'un pirate pourrait faire d'une telle vulnérabilité…
Pire encore, selon l'ISC (Internet Storm Center; centre de crise sur Internet) du SANS Institute, l'exploitation de cette faille permettrait de copier-coller des bribes de code d'une sur-couche (shell) de Windows à distance. La vulnérabilité, connue sous le nom de "fonction JavaScript Window()", prévoit l'ajout d'un argument au code HTML d'une page Web, qui à son tour lance l'exécution d'un script JavaScript lors du chargement de la page Web piégée.
Selon Computer Terrorism, Microsoft connaissait l'existence de cette faille depuis le mois de mai 2005, mais lui a attribué un niveau de priorité trop faible, retardant d'autant l'élaboration d'un correctif.
Espérons que la riposte ne se fasse pas à son tour attendre pendant six mois…
Qualifié de "zero-day exploit" (faille à exploitation immédiate) par plusieurs firmes de sécurité informatique, un code autorisant l'exploitation d'une vulnérabilité du navigateur Internet Explorer de Microsoft circule en ce moment sur le Web.
Publié à partir du Royaume-Uni par le groupe de travail Computer Terrorism, l'exploit de ce programme malicieux permettrait la prise de contrôle à distance de PC sous Windows au moyen d'un simple clic sur un lien infecté. Le Microsoft Security Response Center, qui traite à Redmond de ce genre de menace, devrait publier un avertissement de sécurité dans les prochains jours.
Chez Microsoft, on reconnaît que suite à une erreur d'appréciation, cette faille (sous Windows 2000 Service Pack 4 et Windows XP Service Pack 2) n'a pas reçu l'attention qu'elle méritait, et qu'elle a été, à tort, considérée comme "moyennement critique", au lieu d'être classée parmi les "hautement critiques"… A Redmond, on souligne également que Windows Server 2003, avec ou sans le Service Pack 1, n'est pas concerné, même en configuration par défaut, sous réserve que l'utilitaire de Configuration de Sécurité Avancée soit activé.
En attendant une riposte de l'éditeur, tous les spécialistes du secteur s'accordent pour dire qu'il vaut mieux surfer sur le Web au moyen d'autres navigateurs Internet –les plus souvent cités sont Mozilla Firefox et Opera— et de rester extrêmement prudent.
La preuve que l'exploitation de cette faille est possible peut être consultée sur le site de la FrSirt; en suivant les instructions, vous devriez, sous Internet Explorer, voir la Calculatrice de Windows se lancer "toute seule", mais il est facile d'imaginer ce qu'un pirate pourrait faire d'une telle vulnérabilité…
Pire encore, selon l'ISC (Internet Storm Center; centre de crise sur Internet) du SANS Institute, l'exploitation de cette faille permettrait de copier-coller des bribes de code d'une sur-couche (shell) de Windows à distance. La vulnérabilité, connue sous le nom de "fonction JavaScript Window()", prévoit l'ajout d'un argument au code HTML d'une page Web, qui à son tour lance l'exécution d'un script JavaScript lors du chargement de la page Web piégée.
Selon Computer Terrorism, Microsoft connaissait l'existence de cette faille depuis le mois de mai 2005, mais lui a attribué un niveau de priorité trop faible, retardant d'autant l'élaboration d'un correctif.
Espérons que la riposte ne se fasse pas à son tour attendre pendant six mois…
Source : eWeek
Voir les 17 commentaires - Poster un commentaire
Commentaires
not_win
bon est ce que dis "et oui encore une fois..." oui je garde le silence pour un communique officile 
LordFFM
Par contre, faut voir le coté positif : ça créé de l'emploi dans des bureaux avec des noms débiles (j'aime le "Internet Storm Center"
...panurge
on ne se moque pas, s'il vous plait !
ils nous préparent une conférence sur la sécurité ( http://www.generation-nt.com/actual...a-securite ) alors forcément, ils ne peuvent pas être partout !!!
Ne doutons pas de la politique de sécurité du plus gros éditeur de logiciel du monde, ils travaillent pour nous rendre le monde meilleur.
ils nous préparent une conférence sur la sécurité ( http://www.generation-nt.com/actual...a-securite ) alors forcément, ils ne peuvent pas être partout !!!
Ne doutons pas de la politique de sécurité du plus gros éditeur de logiciel du monde, ils travaillent pour nous rendre le monde meilleur.
HoverSpeed
J'epère qu'il y aurra un service de sécurité à cette confèrence pour évité toute faille. Service de sécurité SP2 pour vous servir
Dreamer
Hey
Je ne comprends pas... 2 fois que ca fait le coup .... je vois le code html sur la page ou la faille est censée etre demontree...
Aurais je un patch qui me met a l abri de ca en affichant le code plutot que l executer'''
Dreamer
Je ne comprends pas... 2 fois que ca fait le coup .... je vois le code html sur la page ou la faille est censée etre demontree...
Aurais je un patch qui me met a l abri de ca en affichant le code plutot que l executer'''
Dreamer
YoYoLups
Bizarre, je viens de faire le test mais il ne se passe rien !!!
Pourtant je suis bien sous IE !
Tant mieux remarque...
Pourtant je suis bien sous IE !
Tant mieux remarque...
normal42
L'exploit ne fonctionne pas : IE signale une erreur de script, et puis plus rien... C'est marqué "please wait", mais on a beau attendre, rien ne se passe. Une fois encore, beaucoup de bruit pour rien !
AngeGabriel
Normal42: tu dois avoir bien réglé IE, en cochant "Afficher les erreurs de script" dans Outils/Préférences Internet/Avancé... Nan...'
Poster un commentaire
Pour poster un commentaire, vous devez vous inscrire sur le site.
Vous aurez alors également accès à des fonctionnalités supplémentaires. S'inscrire...