Microsoft comble la faille critique d'Internet Explorer

le 18/12/2008 à 17:22
Microsoft comble la faille critique d'Internet Explorer
L'importance donnée à la faille de sécurité affectant Internet Explorer n'était pas feinte : rompant avec ses habitudes, Microsoft a procédé mercredi soir à la publication en urgence d'un correctif de sécurité destiné à son navigateur, sans attendre le deuxième mardi de chaque mois, date à laquelle il distribue habituellement ses rustines et mises à jour.

Qualifiée de critique par l'ensemble des éditeurs de sécurité, cette vulnérabilité était susceptible de permettre l'exécution de code à distance si un utilisateur affichait à l'aide d'Internet Explorer une page Web spécialement conçue, ouvrant la porte à l'injection de malwares, à l'élévation de privilèges et enfin à la prise de contrôle à distance d'un ordinateur.

Les modalités d'exploitation de cette faille ont été publiées le 10 décembre dernier, quelques heures seulement après la publication des correctifs Windows du mois de décembre. D'après certains éditeurs, plus de dix mille sites Web, essentiellement pornographiques, auraient été piégés pour permettre d'en tirer parti, au fur et à mesure que se multipliaient exploits et proof of concept sur les sites spécialisés.

"Nous déplorons cependant que, dans le cas présent, la description de cette vulnérabilité ait été publiée sans laisser le temps à Microsoft d'en fournir le remède." explique Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France, dans un communiqué envoyé en urgence par l'éditeur mercredi soir.

Tous les utilisateurs d'Internet Explorer sont donc invités à procéder sans attente à l'installation de ce correctif, dont la distribution a d'ores et déjà commencé via Windows Update. On pourra sinon le télécharger manuellement via cette page.

A lire également

Qualifiée de critique et affectant toutes les versions d'Internet Explorer, la faille de sécurité qui aurait été exploitée dans le cadre des attaques informatiques menées contre Google et d'autres grandes sociétés a comme prévu été corrigée dans la nuit par Microsoft, qui met à disposition des internautes un correctif à télécharger dès à présent.

Toutes les versions du navigateur sont concernées, depuis la 5.01 jusqu'à la 8, sur l'ensemble des systèmes Windows depuis Windows 2000 SP4, en 32 comme en 64 bits. Même si dans certains cas, l'éditeur indique le danger est plus limité, notamment sur la dernière mouture en date d'Internet Explorer, tous sont invités à procéder à la mise à jour sans délai.

La vulnérabilité découverte le 11 janvier dernier permet l'exécution de code local à distance, susceptible d'entrainer la prise de contrôle à distance d'une machine infectée par le biais d'une page Web spécialement conçue. L'affaire a rapidement pris un tour politique, ainsi qu'à un très fort écho médiatique, dès que Microsoft a publiquement reconnu que la faille avait pu jouer un rôle dans la vague d'attaque visant Google, conduisant même des pays comme la France, l'Allemagne ou l'Australie a temporairement déconseiller l'utilisation d'Internet Explorer.

Les internautes chez qui Windows est réglé pour installer automatiquement les correctifs de sécurité la récupèreront automatiquement. Les autres sont invités à lancer l'utilitaire de mise à jour et à sélectionner puis installer le patch relatif à Internet Explorer qui leur sera proposé.
Exceptionnelle, la publication d'un correctif en dehors du rendez-vous mensuel du deuxième mardi du mois ne concerne que des failles critiques. Celle d'aujourd'hui comble une faille dans le Microsoft Active Template Library (ATL) permettant de prendre le contrôle d'un ordinateur.

Si ces failles critiques n'affectent bien souvent que quelques versions d'Internet Explorer et de Windows, seuls les utilisateurs de Windows 7 sont cette fois épargnés. Toutes les versions d'IE sont effectivement concernées, de la 5 à la 8, de Windows 2000 à Vista en passant par XP.

De plus, l'utilisateur malveillant obtenant le contrôle d'un ordinateur par le biais d'une page spécialement conçue n'obtiendra que les privilèges de la victime. C'est donc une nouvelle occasion d'encourager les utilisateurs à ne pas se servir de leur ordinateur avec un compte administrateur.

Cette mise à jour marquée importante s'installe, automatiquement le cas échéant, par le biais de Windows Update.

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours