Faille sous IE : Microsoft cherche...

Le par  |  11 commentaire(s) Source : eWeek
internet explorer IE logo

Microsoft travaille d'arrache-pied pour résoudre l'épineux problème que pose la dernière faille en date sous Internet Explorer.

Microsoft travaille d'arrache-pied pour résoudre l'épineux problème que pose la dernière faille en date sous Internet Explorer.

Internet explorer ie logoDéjà décrite dans nos colonnes, la faille qui affecte Internet Explorer en ce moment n'en finit pas d'empoisonner Microsoft, qui se voit contraint, à moins de deux semaines de son Patch Tuesday de décembre 2005, de préparer une riposte qui tienne la route.

L'éditeur de Redmond reconnaît sans langue de bois que cette vulnérabilité a été sous-estimée, non en raison d'une quelconque incompétence, mais parce qu'au moment où elle lui a été soumise, les conditions matérielles de son exploitation n'étaient pas réunies. La donne a changé, et avec elle le niveau d'anxiété, là-bas, au bord du Pacifique.

Une porte-parole de Microsoft traduit le travail effectué au moment même où vous lirez ces lignes par ces mots: "c'est une tâche titanesque, qui suppose un passage obligé par un certain nombre d'étapes et de points de contrôle."

Il semble quasiment acquis que le patch qui comblera cette faille sera cependant dévoilé et publié avant le mardi 13 décembre, étant donné la gravité de la situation.

Pour mémoire, la vulnérabilité dont il est question ici repose sur peu, voire pas du tout, d'interaction entre pirate et utilisateur: en effet, une simple visite sur un site piégé déclenche automatiquement l'installation d'un Trojan (un cheval de Troie, pour nous autres francophones) téléchargeur, baptisé TrojanDownloader:Win32/Delf.DH chez MSRC (Microsoft Security Response Center), et JS/Exploit-BO.gen par McAfee, qui indique avoir déjà chargé sa signature dans la dernière mise à jour de son anti-virus.

Il semblerait que Symantec et Kaspersky soient eux aussi à jour sur ce plan.

Le cheval de Troie, de son côté, prend immédiatement le contrôle de la machine qui a eu le malheur de croiser sa route.

Les éditeurs de solutions de sécurité sont d'accord sur un point: l'exploit est sérieux, car il fonctionne en temps réel (zero-day), immédiatement, et même sur des machines sous Windows XP Service Pack 2, soit la définition la plus sécurisée que Microsoft puisse offrir de son système d'exploitation.

Un analyste déclare: "S'il est une occasion pour laquelle Microsoft doit absolument publier un patch en dehors du cycle mensuel habituel, c'est bien celle-là."

Une parade possible pour ceux qui croiraient leur machine infectée est de se rendre sur le site de déverminage en ligne de Microsoft, le Windows Live Safety Center, est de procéder à un scan complet ("Complete Scan") de leur système. Cela devrait suffire à débarasser les PC malades de leurs agresseurs.

Soulignons cependant  qu'on ne peut effectuer cette opération que depuis Internet Explorer, ce qui suppose l'installation d'un contrôle ActiveX, dont on connaît les multiples vertus en matière de sécurité…

Pour enchaîner sur une note positive, cependant, soulignons que le scan en question détectera également les vulnérabilités de votre connexion Internet  (anti-virus résident non mis à jour, pare-feu débranché, etc…).

Depuis fin 2003, et l'apparition des Patch Tuesdays, c'est la troisième fois que Microsoft se voit contraint de sortir un correctif à contre-temps. Par trois fois, ces mises à jour concernaient Internet Explorer…



Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #72661
"à mois de deux semaines" =>"à MOINS de deux semaines"

Le #72662
Duh... (en français: "bah") C'est bien qu'est-ce que j'ai mis... après...

Merci quand même!
Le #72663
J'avais oublié une ) après , je crois...
Le #72664
Microsoft a oublié de dire qu'il serait préférable d'utiliser un autre navigateur en attendant
Le #72675
En attendant utilisez Firefox
Le #72690
Bon je dit souvent du mal du libre mais j'utilise firefox, donc les faille sous I.E j'men fou.
Le #72709
Microsoft cherche ...

Mozilla trouve !
Le #72735
tatanedesbois, IE est integré à Windows et l'explorateur Windows est intimement lié à IE, donc meme si tu ne l'utilises pas il se peux que des failles d'IE puissent toucher ton pc.
Le #72738
@Redhat 6
Faut-il encore se servir de l'explorateur pour surfer...sauf que l'on bascule direct sous IE.
Donc l'explorateur ne "surfe" pas...
Le simple fait de ne pas utiliser IE suffit donc (98% du temps...).
C'est aussi pour cela que l'on différencie les failles d'IE et de Windows.

Par contre effectivement, vu que IE est intimement lié à Windows (et à l'explorateur) il est à proscrire pour le surf, même si toutes ses failles étaient corrigées...et comme ce n'est pas le cas raison de plus !
Le #72749
Hum légère correction, il suffit de ne pas se servir de l'explorateur pour surfer...car on bascule bien sur IE (en apparence), mais le process reste explorer donc explorer surfe ! ( ).
Mea culpa !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]