Faille 0-day dans IE : un patch en urgence

Le par  |  2 commentaire(s)
IE_logo

La communication de crise continue pour Microsoft qui annonce la publication d'un correctif hors Patch Tuesday pour combler la très médiatique vulnérabilité de sécurité affectant Internet Explorer. Microsoft conseille toujours de passer à IE8, mais pour la version 7...

IE_logoVecteur dans l'attaque informatique dont a été victime Google en Chine et d'autres entreprises, Internet Explorer est à son tour victime... d'une mauvaise presse. Il faut dire que la  France et l'Allemagne conseillent aux utilisateurs de se tourner vers un navigateur alternatif dans l'attente d'un correctif, afin de combler la faille 0-day qui affecte les versions 6, 7 et 8 d'IE.

Depuis, c'est un peu la communication de crise chez Microsoft qui tente de minimiser l'affaire, rappelant que pour l'heure seules des attaques très limitées et exploitant uniquement la faille dans IE6 ont été observées ( navigateur présent par défaut dans Windows XP ). Le bon conseil de Microsoft est alors de migrer vers la version 8 d'Internet Explorer pour l'heure épargnée par les attaques ( la protection Data Execution Prevention est activée par défaut ).

Les utilisateurs pourraient également envisager de passer à la version 7, puisque selon Microsoft, la faille n'est pas exploitée avec cette mouture. Sauf que cela ne sera peut-être pas encore très longtemps le cas. Des chercheurs en sécurité informatique affirment en effet être parvenus à une telle exploitation qui s'avère plus complexe. Le code exploit ne devrait pas tarder à gagner la Toile.

Mais tout navigateur Web peut être sujet à une vulnérabilité 0-day, et il est difficile d'incriminer Microsoft pour cela. La meilleure réponse que peut apporter Microsoft est assurément la production rapide d'un correctif de sécurité et c'est ce qu'il est désormais décidé à faire. Le chronomètre est donc enclenché car Microsoft fera bel et bien exception à son Patch Tuesday ( tous les deuxièmes mardis de chaque mois ) afin de mettre en ligne un correctif en urgence.

Concernant la recommandation du CERTA ( Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques ) au sujet de l'utilisation d'un navigateur alternatif à Internet Explorer en attendant le correctif, le Directeur Technique & Sécurité de Microsoft France la considère comme " inutilement effrayante ".

Nous avions du reste souligné que ce genre de recommandation n'était pas une première pour le CERTA, et que par le passé il avait déjà conseillé pour cause de faille 0-day de se tourner temporairement vers un navigateur alternatif à Firefox et autres.

Interrogé par l'AFP, un porte-parole de Kaspersky a indiqué que le CERTA " émet régulièrement ce type d'alerte pour différents logiciels, que ce soit Internet Explorer, Firefox, Opera, Safari... Cette faille est mise en exergue par l'attaque contre Google, mais le risque n'est pas plus important que d'habitude ". Plusieurs experts partagent cette analyse.

Cette histoire pourrait servir d'alibi pour relancer la guerre de la concurrence entre les différents navigateurs Web. Hormis la rapidité de réaction de Microsoft à corriger, cela ne paraît toutefois pas forcément le meilleur angle d'attaque comme peut par contre l'être le respect des standards du Web, la vitesse d'exécution JavaScript notamment, voire l'expérience utilisateur.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #580741
Cette vulnérabilité n'est qu'un cheval de bataille pour google qui va tenter par cette pirouette d'imposer son chrome merdique qui tarde à gagner des parts de marché.

Quand on voit que ca marche et que google arrive à faire peur à crosoft, je me dis que google devient dangereux, vraiment dangereux.
Le #580871
les parts de marché ne veulent pas dire forcément qu'un programme est mieux (surtout quand ce dernier est installé par défaut !!). les logiciels ou OS alternatifs permettent d'avoir une autre approche, offrir d'autres possibilités,...permettre à certaines personnes une plus grande ouverture d'esprit
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]