Vulnérabilité critique non corrigée dans Internet Explorer (17/09/12)
RESUME : Un nouveau défaut de sécurité a été identifié dans le navigateur Microsoft Internet Explorer. L'exploitation d'une erreur dans la fonction CMshtmlEd::Exec() permet à un individu malveillant ou à un virus d'exécuter à distance du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page web ou d'un courriel piégé.
LOGICIEL(S) CONCERNE(S) :Microsoft Internet Explorer 9.0
Microsoft Internet Explorer 8.0
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0
LOGICIEL(S) NON CONCERNE(S) :Microsoft Internet Explorer 10.0 (intégré à Windows
RISQUE :Critique
CORRECTIF : Aucun correctif n'est disponible pour le moment car ce défaut de sécurité a été découvert alors qu'il était probablement déjà être exploité de façon malveillante (0-day), via un exploit ciblant le système Windows XP avec Adobe Flash Player installé. Des spécialistes en sécurité ayant rendu public un exploit amélioré fonctionnant sous l'ensemble des systèmes Windows actuellement en vigueur, la menace est accrue.
En attendant la publication d'un correctif officiel, les utilisateurs concernés peuvent appliquer les mesures suivantes afin de réduire les risques d'exploitation malveillante :
- se montrer particulièrement vigilant dans son utilisation d'Internet, notamment vis-à-vis des fichiers douteux, des liens hypertextes non sollicités ou des sites web non reconnus comme sûrs ;
- configurer son logiciel de messagerie pour afficher les messages au format texte plutôt que HTML (menu Outils > Options > onglet Lecture > cocher "Lire tous les messages en texte clair" dans Outlook Express ou Outils > Options > onglet Préférences > bouton Options de la messagerie > cocher "Lire tous les messages standard au format texte brut" dans Outlook) ;
- télécharger et installer l'utilitaire Trousse à outils EMET (Enhanced Mitigation Experience Toolkit) pour rendre plus difficile l'exploitation des vulnérabilités sous Windows (pas seulement celle-ci), voire installer et utiliser un autre navigateur web, tel que Mozilla Firefox ou Opera ;
- installer un logiciel antivirus et vérifier qu'il est paramétré pour se mettre à jour automatiquement. Les éditeurs publient généralement de nouvelles signatures pour tenter de reconnaître et d'intercepter les codes et fichiers malicieux exploitant des failles de sécurité.