Vulnérabilité
non corrigée dans Windows (04/12/07)
RESUME :
Un nouveau défaut de sécurité a été
identifié dans Windows. L'exploitation d'une erreur dans
le composant Web Proxy Auto-Discovery (WPAD) peut permettre
à un individu malveillant de mener une attaque "man-in-the-middle"
et d'intercepter des données sensibles lorsque le navigateur
Internet Explorer est utilisé pour visiter certains sites
web, dont l'adresse comporte un domaine de troisième niveau
(extension de type xxx.com.fr au lieu de .com ou .fr).
LOGICIEL(S)
CONCERNE(S) :
Microsoft
Windows Vista
Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows 2003
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, cette faille ayant été
rendue publique sans concertation avec l'éditeur. Les sites et services
web possédant un domaine de troisième niveau étant
relativement rares, le risque de cette faille reste faible. En attendant
la publication d'un correctif officiel par l'éditeur, les
utilisateurs peuvent tout de même appliquer les mesures suivantes
pour réduire les risques d'exploitation malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- désactiver
la détection automatique des paramètres de connexion
dans le navigateur Internet Explorer : dans la barre de menu sélectionner
Outils > Options... > onglet Connexions > bouton Paramètres
réseau... > décocher la
case Détecter automatiquement les paramètres de
connexion > presser le bouton OK ;
- consulter
le site
de l'éditeur pour d'autres mesures de contournement
provisoire.
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
->
Microsoft
Security Advisory n°945713 (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|