Un code permettant d'exploiter une faille non résolue d'Internet Explorer circule sur le Web, mettant des millions d'internautes en danger.
Qualifié de "zero-day exploit" (faille à exploitation immédiate) par plusieurs firmes de sécurité informatique, un code autorisant l'exploitation d'une vulnérabilité du navigateur Internet Explorer de Microsoft circule en ce moment sur le Web.
Publié à partir du Royaume-Uni par le groupe de travail Computer Terrorism, l'exploit de ce programme malicieux permettrait la prise de contrôle à distance de PC sous Windows au moyen d'un simple clic sur un lien infecté. Le Microsoft Security Response Center, qui traite à Redmond de ce genre de menace, devrait publier un avertissement de sécurité dans les prochains jours.
Chez Microsoft, on reconnaît que suite à une erreur d'appréciation, cette faille (sous Windows 2000 Service Pack 4 et Windows XP Service Pack 2) n'a pas reçu l'attention qu'elle méritait, et qu'elle a été, à tort, considérée comme "moyennement critique", au lieu d'être classée parmi les "hautement critiques"… A Redmond, on souligne également que Windows Server 2003, avec ou sans le Service Pack 1, n'est pas concerné, même en configuration par défaut, sous réserve que l'utilitaire de Configuration de Sécurité Avancée soit activé.
En attendant une riposte de l'éditeur, tous les spécialistes du secteur s'accordent pour dire qu'il vaut mieux surfer sur le Web au moyen d'autres navigateurs Internet –les plus souvent cités sont Mozilla Firefox et Opera— et de rester extrêmement prudent.
La preuve que l'exploitation de cette faille est possible peut être consultée sur le site de la FrSirt; en suivant les instructions, vous devriez, sous Internet Explorer, voir la Calculatrice de Windows se lancer "toute seule", mais il est facile d'imaginer ce qu'un pirate pourrait faire d'une telle vulnérabilité…
Pire encore, selon l'ISC (Internet Storm Center; centre de crise sur Internet) du SANS Institute, l'exploitation de cette faille permettrait de copier-coller des bribes de code d'une sur-couche (shell) de Windows à distance. La vulnérabilité, connue sous le nom de "fonction JavaScript Window()", prévoit l'ajout d'un argument au code HTML d'une page Web, qui à son tour lance l'exécution d'un script JavaScript lors du chargement de la page Web piégée.
Selon Computer Terrorism, Microsoft connaissait l'existence de cette faille depuis le mois de mai 2005, mais lui a attribué un niveau de priorité trop faible, retardant d'autant l'élaboration d'un correctif.
Espérons que la riposte ne se fasse pas à son tour attendre pendant six mois…
Qualifié de "zero-day exploit" (faille à exploitation immédiate) par plusieurs firmes de sécurité informatique, un code autorisant l'exploitation d'une vulnérabilité du navigateur Internet Explorer de Microsoft circule en ce moment sur le Web.
Publié à partir du Royaume-Uni par le groupe de travail Computer Terrorism, l'exploit de ce programme malicieux permettrait la prise de contrôle à distance de PC sous Windows au moyen d'un simple clic sur un lien infecté. Le Microsoft Security Response Center, qui traite à Redmond de ce genre de menace, devrait publier un avertissement de sécurité dans les prochains jours.
Chez Microsoft, on reconnaît que suite à une erreur d'appréciation, cette faille (sous Windows 2000 Service Pack 4 et Windows XP Service Pack 2) n'a pas reçu l'attention qu'elle méritait, et qu'elle a été, à tort, considérée comme "moyennement critique", au lieu d'être classée parmi les "hautement critiques"… A Redmond, on souligne également que Windows Server 2003, avec ou sans le Service Pack 1, n'est pas concerné, même en configuration par défaut, sous réserve que l'utilitaire de Configuration de Sécurité Avancée soit activé.
En attendant une riposte de l'éditeur, tous les spécialistes du secteur s'accordent pour dire qu'il vaut mieux surfer sur le Web au moyen d'autres navigateurs Internet –les plus souvent cités sont Mozilla Firefox et Opera— et de rester extrêmement prudent.
La preuve que l'exploitation de cette faille est possible peut être consultée sur le site de la FrSirt; en suivant les instructions, vous devriez, sous Internet Explorer, voir la Calculatrice de Windows se lancer "toute seule", mais il est facile d'imaginer ce qu'un pirate pourrait faire d'une telle vulnérabilité…
Pire encore, selon l'ISC (Internet Storm Center; centre de crise sur Internet) du SANS Institute, l'exploitation de cette faille permettrait de copier-coller des bribes de code d'une sur-couche (shell) de Windows à distance. La vulnérabilité, connue sous le nom de "fonction JavaScript Window()", prévoit l'ajout d'un argument au code HTML d'une page Web, qui à son tour lance l'exécution d'un script JavaScript lors du chargement de la page Web piégée.
Selon Computer Terrorism, Microsoft connaissait l'existence de cette faille depuis le mois de mai 2005, mais lui a attribué un niveau de priorité trop faible, retardant d'autant l'élaboration d'un correctif.
Espérons que la riposte ne se fasse pas à son tour attendre pendant six mois…
Source :
eWeek
