Faille critique sous-évaluée sur IE

Le par  |  17 commentaire(s) Source : eWeek

Un code permettant d'exploiter une faille non résolue d'Internet Explorer circule sur le Web, mettant des millions d'internautes en danger.

Un code permettant d'exploiter une faille non résolue d'Internet Explorer circule sur le Web, mettant des millions d'internautes en danger.

Qualifié de "zero-day exploit" (faille à exploitation immédiate) par plusieurs firmes de sécurité informatique, un code autorisant l'exploitation d'une vulnérabilité du navigateur Internet Explorer de Microsoft circule en ce moment sur le Web.

Publié à partir du Royaume-Uni par le groupe de travail Computer Terrorism, l'exploit de ce programme malicieux permettrait la prise de contrôle à distance de PC sous Windows au moyen d'un simple clic sur un lien infecté. Le Microsoft Security Response Center, qui traite à Redmond de ce genre de menace, devrait publier un avertissement de sécurité dans les prochains jours.

Chez Microsoft, on reconnaît que suite à une erreur d'appréciation, cette faille (sous Windows 2000 Service Pack 4 et Windows XP Service Pack 2) n'a pas reçu l'attention qu'elle méritait, et qu'elle a été, à tort, considérée comme "moyennement critique", au lieu d'être classée parmi les "hautement critiques"… A Redmond, on souligne également que Windows Server 2003, avec ou sans le Service Pack 1, n'est pas concerné, même en configuration par défaut, sous réserve que l'utilitaire de Configuration de Sécurité Avancée soit activé.

En attendant une riposte de l'éditeur, tous les spécialistes du secteur s'accordent pour dire qu'il vaut mieux surfer sur le Web au moyen d'autres navigateurs Internet –les plus souvent cités sont Mozilla Firefox et Opera— et de rester extrêmement prudent.

La preuve que l'exploitation de cette faille est possible peut être consultée sur le site de la FrSirt; en suivant les instructions, vous devriez, sous Internet Explorer, voir la Calculatrice de Windows se lancer "toute seule", mais il est facile d'imaginer ce qu'un pirate pourrait faire d'une telle vulnérabilité…

Pire encore, selon l'ISC (Internet Storm Center; centre de crise sur Internet) du SANS Institute, l'exploitation de cette faille permettrait de copier-coller des bribes de code d'une sur-couche (shell) de Windows à distance. La vulnérabilité, connue sous le nom de "fonction JavaScript Window()", prévoit l'ajout d'un argument au code HTML d'une page Web, qui à son tour lance l'exécution d'un script JavaScript lors du chargement de la page Web piégée.

Selon Computer Terrorism, Microsoft connaissait l'existence de cette faille depuis le mois de mai 2005, mais lui a attribué un niveau de priorité trop faible, retardant d'autant l'élaboration d'un correctif.

Espérons que la riposte ne se fasse pas à son tour attendre pendant six mois…




Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #70795
lol, ca sera tout
Le #70798
bon est ce que dis "et oui encore une fois..." oui je garde le silence pour un communique officile
Le #70800


Par contre, faut voir le coté positif : ça créé de l'emploi dans des bureaux avec des noms débiles (j'aime le "Internet Storm Center")...
Le #70804
on ne se moque pas, s'il vous plait !

ils nous préparent une conférence sur la sécurité ( http://www.generation-nt.com/actualites/10235/Microsoft-Rencontres-sur-la-securite ) alors forcément, ils ne peuvent pas être partout !!!

Ne doutons pas de la politique de sécurité du plus gros éditeur de logiciel du monde, ils travaillent pour nous rendre le monde meilleur.


Le #70805
J'epère qu'il y aurra un service de sécurité à cette confèrence pour évité toute faille. Service de sécurité SP2 pour vous servir
Le #70815
Hey
Je ne comprends pas... 2 fois que ca fait le coup .... je vois le code html sur la page ou la faille est censée etre demontree...
Aurais je un patch qui me met a l abri de ca en affichant le code plutot que l executer'''
Dreamer
Anonyme
Le #70838
Bizarre, je viens de faire le test mais il ne se passe rien !!!
Pourtant je suis bien sous IE !
Tant mieux remarque...
Le #70851
L'exploit ne fonctionne pas : IE signale une erreur de script, et puis plus rien... C'est marqué "please wait", mais on a beau attendre, rien ne se passe. Une fois encore, beaucoup de bruit pour rien !
Le #70877
Moi de même: R.A.S. ! Bof encore un truc pour vendre leurs produits...
Le #70880
Normal42: tu dois avoir bien réglé IE, en cochant "Afficher les erreurs de script" dans Outils/Préférences Internet/Avancé... Nan...'
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]