Faille 0-day IE : correction prévue aujourd'hui

Le par  |  0 commentaire(s)
Mise à jour d'Internet Explorer 7.0 pour Windows (110x120)

Microsoft va combler la faille 0-day touchant Internet Explorer et exploitée dans le cadre de l'attaque qui a touché Google en Chine, dès aujourd'hui. Le correctif sera en ligne en fin d'après-midi.

Mise à jour d'Internet Explorer 7.0 pour Windows (110x120)La très médiatique vulnérabilité de sécurité d'Internet Explorer sera comblée aujourd'hui. Microsoft a en effet annoncé la livraison de sa rustine ce jeudi 21 janvier aux alentours de 19 heures. Il s'agira d'une mise à jour cumulative et critique pour Internet Explorer dans le cadre d'une publication en urgence.

Pour autant, le conseil de Microsoft ne change pas véritablement, à savoir de mettre à jour vers Internet Explorer 8, et de souligner qu'à sa connaissance les seules attaques très limitées qui ont été menées avec succès ont ciblé IE6.

Face à l'élaboration d'une preuve de concept pour outrepasser la sécurité Data Execution Prevention, Microsoft assure que la sécurité est garantie sous Windows Vista et les versions supérieures de Windows grâce à un autre mécanisme de protection : Address Space Layout Randomization.

Cette technologie de randomisation de l'espace d'adressage permet de configurer les processus de manière aléatoire dans le système. Avec des adresses cibles aléatoires, il est de fait plus difficile d'exploiter une faille connue. Mais avec Windows XP, pas d'ASLR.

Selon Microsoft, appliquer la mise à jour pour Internet Explorer permettra d'assurer la protection de tous les produits qui utilisent mshtml.dll, autrement dit le lien avec le moteur de rendu Trident du navigateur. C'est le cas pour Outlook, Outlook Express, Windows Live Mail... La vulnérabilité peut aussi être exploitée via un contrôle ActiveX dans un fichier Access, Word, Excel ou PowerPoint. Des cas de figure qui n'ont cependant pas été rencontrés.

Cette mésaventure bientôt résolue d'IE profitera-t-elle aux navigateurs alternatifs ? On n'aura en tout cas jamais autant parlé d'une faille d'IE dans tous les médias.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]