Internet Explorer : Microsoft comble 10 trous de sécurité

Le par  |  0 commentaire(s)
IE_logo

Microsoft publie en urgence une mise à jour de sécurité pour Internet Explorer qui corrige dix vulnérabilités dont une critique exploitée depuis début mars.

IE_logoLa firme de Redmond a procédé à sa publication dite en urgence, dans la mesure où comme le géant du logiciel le fait parfois, il a fait exception à son traditionnel Patch Tuesday qui a lieu tous les deuxièmes mardis de chaque mois. C'est la deuxième fois depuis 2010 que Microsoft procède à une telle publication en urgence pour Internet Explorer, après la correction de la faille IE6 qui avait été utilisée dans l'affaire des cyberattaques chinoises à l'encontre de Google.

Si urgence il y avait cette fois-ci, c'était surtout pour corriger une vulnérabilité de sécurité 0-day via laquelle des attaques informatiques ont eu lieu. En l'occurrence, cette vulnérabilité n'affecte que les versions 6 et 7 d'Internet Explorer et donc pas la version 8 que Microsoft continue de conseiller afin de bénéficier d'une meilleure protection. Ladite faille implique la bibliothèque logicielle iepeers.dll.

La mise à jour est néanmoins cumulative et comble d'autres vulnérabilités. Elles auraient dû l'être le 13 avril prochain mais Microsoft a fait d'une pierre deux coups. Ces vulnérabilités sont au nombre de neuf ( principalement de corruption de mémoire ) et parfois critiques avec également IE8 touché. La grosse différence est qu'elles ont été portées à la connaissance de Microsoft de manière confidentielle et n'ont donc pas fait l'objet d'une divulgation publique.

Microsoft détaille le contenu de cette mise à jour dans son bulletin de sécurité MS10-018 et a réalisé le tableau ci-dessous pour rendre compte des versions d'IE affectées ou non ( l'astérisque correspond à la vulnérabilité actuellement exploitée par des attaquants ) :

CVEcompchart

Interrogé sur la correction de la vulnérabilité utilisée dans le cadre du concours de hacking Pwn2Own, Microsoft a indiqué que le problème est à l'étude et n'a pas encore été corrigé. Rappelons que les vulnérabilités utilisées dans ce concours ont été rapportées aux éditeurs concernés de manière responsable comme aime à le souligner Microsoft : pas de divulgation publique.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]