Nouvelle faille de sécurité critique dans Internet Explorer

Des hackers exploitent dĂ©jĂ  une faille critique d'IE sur Windows XPLe 26 avril, Microsoft a publiĂ© une alerte de sĂ©curitĂ© afin de rĂ©vĂ©ler la dĂ©couverte d’une vulnĂ©rabilitĂ© critique affectant les diffĂ©rentes versions de son navigateur, Internet Explorer. Il s’agit d’une faille Zero-Day, c’est-Ă -dire faisant d’ores et dĂ©jĂ  l’objet d’attaques informatiques. Ces attaques sont de type « drive-by ». « Microsoft a connaissance d’attaques limitĂ©es et ciblĂ©es qui tentent d’exploiter une vulnĂ©rabilitĂ© dans les versions 6 Ă  11 d’Internet Explorer », indique l’Ă©diteur dans son avis de sĂ©curitĂ©. Selon la firme de Redmond, ces attaques ont Ă©tĂ© lancĂ©es contre des utilisateurs d’IE dirigĂ©s vers des sites web malveillants. Ces attaques « drive-by » sont parmi les plus dangereuses, car il suffit que l’utilisateur accède Ă  une URL pour que son navigateur soit piratĂ©.

L’éditeur précise donc que la vulnérabilité affecte les versions de 6 à 11 d’Internet Explorer, ainsi que les différentes versions de Windows, en-dehors du noyau Server de Windows. Pour Windows Server, IE n’est vulnérable que si les attaques sont réalisées depuis des sites configurés comme appartenant à la zone de confiance du navigateur.

La faille a été signalée à Microsoft par l’éditeur de sécurité FireEye. Selon ce dernier, si la vulnérabilité affecte l’ensemble des versions du logiciel, les attaques observées sont elles spécifiques aux versions 9, 10 et 11 d’IE. Ces attaques contournent les mécanismes de sécurité DEP et ASLR de Windows.

Toujours selon FireEye, l’attaque exploiterait un fichier SWF Adobe Flash. L’éditeur, comme Microsoft, ne précise cependant pas si l’absence de Flash suffit pour prévenir une exploitation. A noter que IE 10 et 11, intégrant Flash, seraient dès lors vulnérables par défaut.

Comment freiner les attaques ?

Les utilisateurs de Windows XP peuvent compliquer un peu la tâche des attaquants qui tenteraient d’exploiter la faille d’IE en installant l’outil « Enhanced Mitigation Experience Toolkit 4.1 » (EMET) disponible sur le site de Microsoft. L’avis de sĂ©curitĂ© dĂ©taille d’autres mesures permettant de limiter les risques, par exemple « dĂ©senregistrer » le fichier vgx.dll. Cette bibliothèque de liens dynamiques .dll est un des modules utilisĂ©s par Windows et IE pour le rendu de graphismes vectoriels (VML ou Vector Markup Language). Les utilisateurs de Windows XP peuvent aussi Ă©viter les attaques contre IE en optant pour un autre navigateur, Google Chrome ou Firefox de Mozilla, qui continueront Ă  recevoir des mises Ă  jour de sĂ©curitĂ© pendant les 12 prochains mois au moins.

source : ZDNET, LeMondeInformatique.fr

2 rĂ©flexions au sujet de « Nouvelle faille de sĂ©curitĂ© critique dans Internet Explorer »

    • Cet article est assez ancien, il est vrai qu »aujourd’hui la nouvelle version du navigateur « Microsoft Edge » qui se veut plus performant, innovant, et surtout conçu pour le Web moderne.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>