Nouvelle faille zero-day pour Windows

Le par  |  13 commentaire(s)
IE 7 logo small

Microsoft a de nouveau quelques soucis de sécurité avec certaines (en fait, presque toutes les) versions de Windows commercialisées à ce jour.

Microsoft a de nouveau quelques soucis de sécurité avec certaines (en fait, presque toutes les) versions de Windows commercialisées à ce jour. La faille dont il est question aujourd'hui affecte le module de traitement du code XMLHTTP dans Internet Explorer, et elle est qualifiée d'extrêmement critique par l'éditeur.


Fébrilité généralisée
Ie 7 logo smallVous pensiez vous mettre à l'abri des pirates en passant à Internet Explorer 7 ' Il semble que ce soit raté, car Microsoft et la firme de sécurité informatique Secunia publient un bulletin d'alerte conjoint, dans lequel elles expliquent que toutes les versions de Windows destinées aux professionnels depuis Windows 2000 sont vulnérables à une attaque par le biais du module ActiveX XMLHTTP 4.0, utilisé notamment par Internet Explorer. Ce module a pour but de faciliter la vie de l'internaute en accélérant le rendu de certaines pages Web, mais ce faisant, il rend également plus facile la tâche de ceux qui conçoivent des sites piégés. D'ailleurs, il existe des preuves que cette faille a déja été exploitée avec succès, d'où la relative agitation qui s'est emparée du quartier-général de Microsoft, ces dernières vingt-quatre heures.

Pour l'heure, seules quelques certitudes subsistent : on peut contourner cette vulnérabilité en se livrant à un petit numéro d'équilibriste dans la Base de Registre de Windows (faites un signe de croix avant de taper "regedit" dans la fenêtre d'exécution de commandes), on peut également relever le niveau général de sécurité d'Internet Explorer de "moyen" à "élevé", tant en local que sur le Web, mais on peut aussi régler le navigateur Internet de Microsoft de manière à ce qu'il vous demande votre avis à chaque fois qu'un contrôle ActiveX est nécessaire à la visite d'une page Web. Par défaut, et depuis quelques mois, Internet Explorer vous demande l'autorisation d'installer de nouveaux contrôles ActiveX, mais ne vous pose ensuite plus la question lorsqu'il s'agit de les employer.

Vous trouverez (en anglais) tous les détails sur cette faille dans la note de Secunia, ainsi que dans l'avertissement publié par Microsoft via son service TechNet.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #140232
"on peut contourner cette vulnérabilité...etc..."
On peut aussi changer de navigateur, voire d'OS...<img src="/img/emo/cool.gif" alt="8:" />
Le #140234
voire même arreter d'aller sur le net



bon là c'est pas gagné.
Le #140235
De toutes façons des failles y en a sur tous les OS...
Par contre, bizarre la phrase sur le signe de croix et la base de registre :
C'est si compliqué que ça d'aller changer une clé dans une interface graphique hierarchisée simple'
Le #140236
En parlant de modification dans la base de registre:

cela m'amuse de voir généralement les utilisateurs de Win répugner les lignes de commandes et les fichiers de conf de Linux alors que cela ne les dérangent pas de faire des modifications incompréhensibles et non intuitive dans la reg (et de devoir prier pour que cela fonctionne).
Le #140237
Mon Dieu, qu'allons-nous devenir '
Et voilà mon dimanche est gâché, merci Ange!
Le #140241
"on peut contourner cette vulnérabilité [...] votre avis à chaque fois qu'une contrôle ActiveX est nécessaire à la visite d'une page "

Ou utiliser un autre navigateur
Anonyme
Le #140242
AG
"car Microsoft et la firme de sécurité informatique Secunia publie (=>PUBLIENT) une (=>UN) bulletin d'alerte"

redmail +10
j'ai toujours pas compris aujourd'hui... et puis sous beaucoup de distro ya plus vraiment a toucher a la console (suse par exemple) et quand on y touche c'est vraiment pour des trucs tout bete... ex sous ubuntu pour ceux qui ne connaissent pas, c'est beaucoup plus rapide de taper en console apt-get update puis apt-get upgrade que d'aller le faire en mode graphique...
apres il peut y avoir des choses plus compliquées à faire mais pour un utilisateur moyen et même tres moyen (comme ceux qui sont sous windows ) ya pas grand chose a faire!

vive l'activeX
Le #140256
Et merde moi qui venait de télécharger ie7 pour voir .Quelle daube ils ont des progrès à faire avant d'arriver au niveau de firefox...
Le #140263
matou: le problème se pose également sous IE6.
Le #140302
@paralax

sinon quand j'ai besoin d'utiliser IE j'utilise avant browser avec java, script, activeX, flash, sons, video bloquer, je limite les risques comme ca sinon ca fais lontgemps que je suis passé a firefox depuis je ne peu plus me passer de sa modularité donc difficile de repassé a IE7
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]