Le 8 Août dernier, Microsoft diffusait un correctif cumulatif afin de corriger une série de failles sur son navigateur Internet Explorer 6 SP1 (MS06-042). Il n’a pas fallu attendre longtemps pour que des problèmes de fonctionnement suite à l’installation du patch remontent aux oreilles du support client de Microsoft. En visitant certains sites, le butineur fraîchement mis à jour avait une fâcheuse tendance à ... planter.
Le 11 Août suivant, Microsoft publie une note qui mentionne le problème du correctif MS06-042 et confirme qu’Internet Explorer digère mal les pages web utilisant la compression et le protocole HTTP 1.1.
Seulement, d’après la société eEye, l’éditeur de Redmond omet un détail qui a son importance : il ne s’agit pas simplement d’un « bug » causant un crash mais d’une faille pouvant compromettre la sécurité de la machine vulnérable.
En effet, intrigués par le comportement du navigateur, plusieurs chercheurs et sociétés se sont penchés sur le problème et ont découvert qu’il était possible d’exploiter ce défaut afin d’exécuter à distance du code arbitraire. D’un simple « bug » on passe donc à une vulnérabilité jugée critique par eEye.
Windows XP SP1 (IE6 SP1) et Windows 2000 (IE6 SP1) avec le correctif MS06-042 sont affectés par cet effet de bord. Une nouvelle version de la mise à jour de sécurité est en cours de développement et aurait du être distribuée à tous les clients Microsoft Internet Explorer 6 Service Pack 1 le 22 août 2006. Ce qui n'a pas été le cas, et ne l'est toujours pas à l'heure actuelle sans qu'aucune date de disponibilité ne soit donnée (voir cette actualité pour plus de précisions).
En attendant, eEye conseille de désactiver le support du protocole HTTP 1.1 dans le navigateur ou de passer en XP SP2.
Il n’est pas à exclure que des individus peu scrupuleux utilisent d’ores et déjà ce nouveau vecteur pour véhiculer des spywares ou autres chevaux de Troie à travers des sites Internet malicieux. Gare où vous surfez !
Le 11 Août suivant, Microsoft publie une note qui mentionne le problème du correctif MS06-042 et confirme qu’Internet Explorer digère mal les pages web utilisant la compression et le protocole HTTP 1.1.
Seulement, d’après la société eEye, l’éditeur de Redmond omet un détail qui a son importance : il ne s’agit pas simplement d’un « bug » causant un crash mais d’une faille pouvant compromettre la sécurité de la machine vulnérable.
En effet, intrigués par le comportement du navigateur, plusieurs chercheurs et sociétés se sont penchés sur le problème et ont découvert qu’il était possible d’exploiter ce défaut afin d’exécuter à distance du code arbitraire. D’un simple « bug » on passe donc à une vulnérabilité jugée critique par eEye.
Windows XP SP1 (IE6 SP1) et Windows 2000 (IE6 SP1) avec le correctif MS06-042 sont affectés par cet effet de bord. Une nouvelle version de la mise à jour de sécurité est en cours de développement et aurait du être distribuée à tous les clients Microsoft Internet Explorer 6 Service Pack 1 le 22 août 2006. Ce qui n'a pas été le cas, et ne l'est toujours pas à l'heure actuelle sans qu'aucune date de disponibilité ne soit donnée (voir cette actualité pour plus de précisions).
En attendant, eEye conseille de désactiver le support du protocole HTTP 1.1 dans le navigateur ou de passer en XP SP2.
Il n’est pas à exclure que des individus peu scrupuleux utilisent d’ores et déjà ce nouveau vecteur pour véhiculer des spywares ou autres chevaux de Troie à travers des sites Internet malicieux. Gare où vous surfez !
