Vulnérabilité
critique non corrigée dans Windows (04/11/06)
MAJ 14/11/06 : un correctif
officiel est disponible
RESUME :
Un nouveau défaut de sécurité a été
découvert dans Windows. L'exploitation d'une erreur dans
le contrôle ActiveX XMLHTTP 4.0 permet à un individu
malveillant de prendre le contrôle à distance de l'ordinateur
de sa victime ou à un virus de s'exécuter automatiquement
à l'ouverture d'une page web ou d'un courriel piégé.
LOGICIEL(S)
CONCERNE(S) :
Microsoft
Windows XP
Microsoft Windows 2000
Microsoft
Windows 2003
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, cette faille ayant été
identifiée alors qu'elle était déjà
exploitée de façon malveillante (0-day). En attendant
la publication d'un correctif officiel, les utilisateurs concernés
peuvent appliquer les mesures suivantes afin de réduire les
risques d'exploitation malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- désactiver
l'option "Active scripting" dans les zones de sécurité
"Internet" et "Intranet Local" du navigateur
Internet Explorer, en ajoutant si nécessaire les sites
sûrs habituellement consultés dans la zone "Sites
de confiance" (afin d'éviter que la désactivation
de cette option ne perturbe leur affichage ou leur fonctionnement)
;
- tenir à
jour son antivirus. Les éditeurs ont déjà
ou vont bientôt publier de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
cette faille (Bloodhound.Exploit.96 chez Symantec, Exploit-XMLCoreSrvcs
chez Mc Afee) ;
- configurer
son logiciel de messagerie pour utiliser les paramètres
de sécurité les plus élevés (menu
Outils > Options > onglet Sécurité > sélectionner
"Zone sites sensibles" dans Outlook Express ou Outlook)
et afficher les messages reçus au format texte plutôt
que HTML (menu Outils > Options > onglet Lecture > cocher
"Lire tous les messages en texte clair" dans Outlook
Express ou Outils > Options > onglet Préférences
> bouton Options de la messagerie > cocher "Lire tous
les messages standard au format texte brut" dans Outlook).
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
->
Microsoft
Security Advisory (935423) (en anglais)
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|