La très médiatique vulnérabilité de sécurité d'Internet Explorer sera comblée aujourd'hui. Microsoft a en effet annoncé la livraison de sa rustine ce jeudi 21 janvier aux alentours de 19 heures. Il s'agira d'une mise à jour cumulative et critique pour Internet Explorer dans le cadre d'une publication en urgence.
Pour autant, le conseil de Microsoft ne change pas véritablement, à savoir de mettre à jour vers Internet Explorer 8, et de souligner qu'à sa connaissance les seules attaques très limitées qui ont été menées avec succès ont ciblé IE6.
Face à l'élaboration d'une preuve de concept pour outrepasser la sécurité Data Execution Prevention, Microsoft assure que la sécurité est garantie sous Windows Vista et les versions supérieures de Windows grâce à un autre mécanisme de protection : Address Space Layout Randomization.
Cette technologie de randomisation de l'espace d'adressage permet de configurer les processus de manière aléatoire dans le système. Avec des adresses cibles aléatoires, il est de fait plus difficile d'exploiter une faille connue. Mais avec Windows XP, pas d'ASLR.
Selon Microsoft, appliquer la mise à jour pour Internet Explorer permettra d'assurer la protection de tous les produits qui utilisent mshtml.dll, autrement dit le lien avec le moteur de rendu Trident du navigateur. C'est le cas pour Outlook, Outlook Express, Windows Live Mail... La vulnérabilité peut aussi être exploitée via un contrôle ActiveX dans un fichier Access, Word, Excel ou PowerPoint. Des cas de figure qui n'ont cependant pas été rencontrés.
Cette mésaventure bientôt résolue d'IE profitera-t-elle aux navigateurs alternatifs ? On n'aura en tout cas jamais autant parlé d'une faille d'IE dans tous les médias.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.