Une nouvelle série de failles de sécurité critiques vient d'être
découverte dans Internet Explorer et Outlook de Microsoft, selon la
société eEye Digital Security.
Ces failles permettraient l'éxécution de codes à distance, sans intervention de l'utilisateur d'un PC, selon eEye. Bien qu'elles ne semblent pas autoriser des vers à s'auto-propager et infecter un système, la possibilité pour un assaillant d'installer des chevaux de Troie (trojans) sans que l'utilisateur s'en aperçoive est réelle, aux dires de Ben Nagy, responsable de la sécurité chez eEye, interrogé vendredi.
"Si un utilisateur se laisse piéger et visite un site porteur d'un code malicieux, son PC peut être infecté simplement en passant le pointeur de la souris au dessus d'une bannière publicitaire", dit Nagy.
Il y a plusieurs jours, la société eEye a averti Microsoft de ces failles dans la configuration par défaut d'Outlook et IE, et lui donnera le temps de développer un correctif avant de diffuser des détails sur les versions affectées par ce défaut, toujours selon Nagy.
Pour l'heure, seules quelques bribes d'information sont incluses dans les rapports d'eEye à paraître.
Nagy a ajouté qu'eEye conduit toujours des tests afin de déterminer quelles plate-formes sont susceptibles d'être affectées, et jusqu'à quel point, indiquant en outre qu'aucune exploitation de ces failles n'a pour l'instant été constatée.
"Microsoft a reconnu qu'une vulnérabilité existe bel et bien, mais je doute que la firme de Redmond rompe avec son habitude de diffuser ses mises à jour le premier mardi de chaque mois", nous a encore appris Nagy.
De son côté, Microsoft dit enquêter sur d'éventuelles vulnérabilités pouvant affecter aussi Windows:
"Au moment où nous parlons, Microsoft n'a connaissance d'aucune attaque réussie suite à ces vulnérabilités, et les utilisateurs ne devraient pas être affectés", selon une porte-parole de Microsoft.
Elle ajoute: "A la conclusion de cette enquête, notre compagnie prendra les mesures nécessaires pour protéger ses clients; ceci pourrait passer par la diffusion d'un nouveau Service Pack, par nos mises à jour mensuelles habituelles, ou par une mise à jour de sécurité exceptionnelle, en fonction des besoins de nos clients".
Ces failles permettraient l'éxécution de codes à distance, sans intervention de l'utilisateur d'un PC, selon eEye. Bien qu'elles ne semblent pas autoriser des vers à s'auto-propager et infecter un système, la possibilité pour un assaillant d'installer des chevaux de Troie (trojans) sans que l'utilisateur s'en aperçoive est réelle, aux dires de Ben Nagy, responsable de la sécurité chez eEye, interrogé vendredi.
"Si un utilisateur se laisse piéger et visite un site porteur d'un code malicieux, son PC peut être infecté simplement en passant le pointeur de la souris au dessus d'une bannière publicitaire", dit Nagy.
Il y a plusieurs jours, la société eEye a averti Microsoft de ces failles dans la configuration par défaut d'Outlook et IE, et lui donnera le temps de développer un correctif avant de diffuser des détails sur les versions affectées par ce défaut, toujours selon Nagy.
Pour l'heure, seules quelques bribes d'information sont incluses dans les rapports d'eEye à paraître.
Nagy a ajouté qu'eEye conduit toujours des tests afin de déterminer quelles plate-formes sont susceptibles d'être affectées, et jusqu'à quel point, indiquant en outre qu'aucune exploitation de ces failles n'a pour l'instant été constatée.
"Microsoft a reconnu qu'une vulnérabilité existe bel et bien, mais je doute que la firme de Redmond rompe avec son habitude de diffuser ses mises à jour le premier mardi de chaque mois", nous a encore appris Nagy.
De son côté, Microsoft dit enquêter sur d'éventuelles vulnérabilités pouvant affecter aussi Windows:
"Au moment où nous parlons, Microsoft n'a connaissance d'aucune attaque réussie suite à ces vulnérabilités, et les utilisateurs ne devraient pas être affectés", selon une porte-parole de Microsoft.
Elle ajoute: "A la conclusion de cette enquête, notre compagnie prendra les mesures nécessaires pour protéger ses clients; ceci pourrait passer par la diffusion d'un nouveau Service Pack, par nos mises à jour mensuelles habituelles, ou par une mise à jour de sécurité exceptionnelle, en fonction des besoins de nos clients".
Merci à Didier d'avoir rédigé cette news.
