Nouvelle faille zero-day pour Windows
Le par Ange-Gabriel C.
Microsoft a de nouveau quelques soucis de sécurité avec certaines (en fait, presque toutes les) versions de Windows commercialisées à ce jour.
Fébrilité généralisée
Vous pensiez vous mettre à l'abri des pirates en passant à Internet Explorer 7 ' Il semble que ce soit raté, car Microsoft et la firme de sécurité informatique Secunia publient un bulletin d'alerte conjoint, dans lequel elles expliquent que toutes les versions de Windows destinées aux professionnels depuis Windows 2000 sont vulnérables à une attaque par le biais du module ActiveX XMLHTTP 4.0, utilisé notamment par Internet Explorer. Ce module a pour but de faciliter la vie de l'internaute en accélérant le rendu de certaines pages Web, mais ce faisant, il rend également plus facile la tâche de ceux qui conçoivent des sites piégés. D'ailleurs, il existe des preuves que cette faille a déja été exploitée avec succès, d'où la relative agitation qui s'est emparée du quartier-général de Microsoft, ces dernières vingt-quatre heures.Pour l'heure, seules quelques certitudes subsistent : on peut contourner cette vulnérabilité en se livrant à un petit numéro d'équilibriste dans la Base de Registre de Windows (faites un signe de croix avant de taper "regedit" dans la fenêtre d'exécution de commandes), on peut également relever le niveau général de sécurité d'Internet Explorer de "moyen" à "élevé", tant en local que sur le Web, mais on peut aussi régler le navigateur Internet de Microsoft de manière à ce qu'il vous demande votre avis à chaque fois qu'un contrôle ActiveX est nécessaire à la visite d'une page Web. Par défaut, et depuis quelques mois, Internet Explorer vous demande l'autorisation d'installer de nouveaux contrôles ActiveX, mais ne vous pose ensuite plus la question lorsqu'il s'agit de les employer.
Vous trouverez (en anglais) tous les détails sur cette faille dans la note de Secunia, ainsi que dans l'avertissement publié par Microsoft via son service TechNet.
Complément d'information
-
Souvenez-vous, il y a quelques jours, nous vous faisions part de l'existence d'une faille découverte mardi dernier dans la bibliothèque VML ( Vector Markup Language ) dans Windows.
Poser une question
On peut aussi changer de navigateur, voire d'OS...<img src="/img/emo/cool.gif" alt="8:" />
bon là c'est pas gagné.
Par contre, bizarre la phrase sur le signe de croix et la base de registre :
C'est si compliqué que ça d'aller changer une clé dans une interface graphique hierarchisée simple'
cela m'amuse de voir généralement les utilisateurs de Win répugner les lignes de commandes et les fichiers de conf de Linux alors que cela ne les dérangent pas de faire des modifications incompréhensibles et non intuitive dans la reg (et de devoir prier pour que cela fonctionne).
Et voilà mon dimanche est gâché, merci Ange!