Vulnérabilité
critique non corrigée dans Windows (27/09/06)
MAJ 10/10/06 : un correctif
officiel est disponible
RESUME :
Un défaut de sécurité a été découvert
dans Windows. Son exploitation par l'intermédiaire du contrôle
ActiveX WebViewFolderIcon (webvw.dll) et de la méthode setSlice()
permet à un individu malveillant de prendre le contrôle
à distance de l'ordinateur de sa victime ou à un virus
de s'exécuter à l'ouverture d'une page web ou d'un
courriel piégé.
LOGICIEL(S)
CONCERNE(S) :
Microsoft
Windows XP
Microsoft Windows 2000
Microsoft Windows Me
Microsoft Windows 98 SE
Microsoft Windows 98
Microsoft
Windows 95
Microsoft Windows 2003
Microsoft Windows NT
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, le découvreur
de la faille ayant fait le choix de rendre publics son existence
et le code permettant son exploitation sans concertation avec l'éditeur.
En attendant la publication d'un correctif officiel, les utilisateurs
concernés peuvent appliquer les mesures suivantes afin de
réduire les risques d'exploitation malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- désactiver
l'option "Active scripting" dans les zones de sécurité
"Internet" et "Intranet Local" du navigateur
Internet Explorer, en ajoutant si nécessaire les sites
sûrs habituellement consultés dans la zone "Sites
de confiance" (afin d'éviter que la désactivation
de cette option ne perturbe leur affichage ou leur fonctionnement)
;
- tenir à
jour son antivirus. Les éditeurs ont déjà
ou vont bientôt publier de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
cette faille (notamment Exploit-CVE2006-3730 chez Mc Afee ou Bloodhound.Exploit.83
chez Symantec) ;
- utiliser
un autre navigateur web, lui-même à jour dans ses
correctifs de sécurité ;
- configurer
son logiciel de messagerie pour utiliser les paramètres
de sécurité les plus élevés (menu
Outils > Options > onglet Sécurité > sélectionner
"Zone sites sensibles" dans Outlook Express ou Outlook)
et afficher les messages reçus au format texte plutôt
que HTML (menu Outils > Options > onglet Lecture > cocher
"Lire tous les messages en texte clair" dans Outlook
Express ou Outils > Options > onglet Préférences
> bouton Options de la messagerie > cocher "Lire tous
les messages standard au format texte brut" dans Outlook).
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
->
Microsoft
Security Advisory (926043) (en anglais)
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|