Découverte la dernière semaine de l'année 2012, une faille critique d’Internet
Explorer (versions 6, 7 et 8) a été colmatée par Microsoft grâce à un
correctif à appliquer d’un seul clic. Malheureusement, celui-ci n’est
que temporaire.
Il n’aura pas fallu longtemps à Microsoft pour réagir, preuve que le danger était réel. L’éditeur de Redmond vient en effet de publier un correctif pour son navigateur Internet Explorer, afin de combler une faille de sécurité critique annoncée le 29 décembre dernier par l’intermédiaire d’un bulletin de sécurité spécial.
Il n’aura pas fallu longtemps à Microsoft pour réagir, preuve que le danger était réel. L’éditeur de Redmond vient en effet de publier un correctif pour son navigateur Internet Explorer, afin de combler une faille de sécurité critique annoncée le 29 décembre dernier par l’intermédiaire d’un bulletin de sécurité spécial.
Il faut dire qu’il y avait urgence, puisque
Microsoft reconnaissait que cette faille était déjà exploitée pour des
attaques malveillantes de type « 0-day », c'est-à-dire sans qu’il existe
de protection pour les contrer. Cependant, toutes les versions
d’Internet Explorer n’étaient pas touchées. Le problème concernait en
effet les versions 6, 7 et 8 sous Windows XP et Vista, mais pas Internet Explorer 9 sous Windows 7 ni Internet Explorer 10 sous Windows 8.
Une
nouvelle faille de sécurité touche le navigateur Internet Explorer.
Mais seulement dans ses versions 6, 7 et 8 utilisées sous Windows XP et Vista. Les utilisateurs de Windows 7 et Windows 8 ne sont pas concernés. © Microsoft
Concrètement, à cause de cette faille située au
niveau de la gestion de la mémoire par le navigateur, un pirate pouvait
prendre le contrôle d’un PC si son utilisateur visitait une page piégée ou cliquait sur un lien malicieux (dans son logiciel de courrier électronique ou de messagerie instantanée). De quoi faciliter la propagation d’un ver ou d’un virus ou subtiliser des informations personnelles comme des codes d’accès ou un numéro de carte bancaire.
Une simple rustine pour le moment
Une simple rustine pour le moment
Avant de publier son correctif en début de semaine,
Microsoft conseillait d’effectuer une vérification des paramètres de
sécurité d’Internet Explorer afin de les régler en position maximale
pour bloquer l’exécution de scripts ActiveX. Le patch proposé depuis, de type Fix It, permet de combler la faille sans avoir à redémarrer l’ordinateur.
Mais attention : il ne s’agit que d’une simple
rustine, une solution provisoire qui modifie quelques clés du registre
de Windows, mais qui est loin de résoudre totalement le problème. Il
faudra sans doute attendre pour cela le 8 janvier ou le 12 février 2013,
date des prochains Patch Tuesdays, ces jours de diffusion
de correctifs pour l’ensemble des logiciels Microsoft. On trouvera
peut-être des mises à jour spécifiques aux versions 6, 7 et 8 d’Internet
Explorer. Alors seulement, ces versions seront définitivement protégées
contre cette faille de sécurité.
Aucun commentaire:
Enregistrer un commentaire