samedi 16 février 2013

Microsoft annonce une faille de sécurité béante dans Windows



Les utilisateurs d’Internet Explorer et d’Opera doivent-ils être plus vigilants que les autres ? C’est ce que suggère Microsoft qui vient de publier une information sur une faille de sécurité.

La faille est dite « zero day », c’est-à-dire découverte alors qu’elle est déjà exploitable. Elle est ouverte dans Internet Explorer et concerne le format MHTML. Avec un M pour Mime (Multipurpose Internet Mail Extensions), cette manière de coder un script HTML permet d’encapsuler une page Web entière, avec tous ses éléments (photos, vidéos…), dans un seul fichier. Le codage Mime est utilisé dans les logiciels de courrier électronique pour inclure dans un message un affichage décrit en HTML ou même des caractères accentués, non prévus à l’origine dans le courrier électronique qui ne connaissait que le code ASCII à 7 bits.

L’alerte de Microsoft explique qu’Internet Explorer, en ouvrant ce genre de fichier, peut exécuter consciencieusement les codes qui s’y trouvent encapsulés. Un programme malveillant peut donc s’y cacher et être lancé à ce moment. Il faut pour cela que l’utilisateur ouvre une page Web déclenchant l’ouverture du fichier et clique là où on lui demande. Un logiciel de messagerie reconnaissant le MHTML ferait de même, mais Outlook et Windows Mail disposent d’une sécurité à cet égard et, par défaut, désactivent ces scripts inclus dans un e-mail. Côté navigateurs, hormis Internet Explorer, seul Opera reconnaît ce format MHTML.

Les ingénieurs de Microsoft travaillent pour colmater la brèche…


Aucun commentaire:

Enregistrer un commentaire