|
Vulnérabilité
critique non corrigée dans Internet Explorer (14/01/10)
MAJ 21/01/10 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans le navigateur Internet Explorer. L'exploitation
d'une erreur dans la gestion de la mémoire (pointeur invalide
accessible après suppression de l'objet) permet à
un individu malveillant ou à un virus d'exécuter du
code malicieux sur l'ordinateur de sa victime à l'ouverture
d'une page web piégée.
LOGICIEL(S)
CONCERNE(S) :
Microsoft Internet Explorer 8.0
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0
LOGICIEL(S)
NON CONCERNE(S) :
Microsoft Internet Explorer 5.01
RISQUE :
Critique
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, cette faille ayant été
identifiée alors qu'elle était déjà
exploitée de façon malveillante (0-day). En attendant
la publication d'un correctif officiel, les utilisateurs concernés
peuvent appliquer les mesures suivantes afin de réduire les
risques d'exploitation malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- activer la
fonction DEP (Data Execution Prevention) de Windows, afin de limiter
les risques d'exécution de code malicieux : cliquez ici
pour vous rendre sur la page KB979352 du site de l'éditeur,
cliquez sur le bouton "Fixit" situé au-dessus
de "Microsoft Fix it 50285", téléchargez
le programme MicrosoftFixit50285.msi sur le disque dur (ou une
clé USB pour pouvoir l'appliquer à plusieurs ordinateurs),
puis l'exécuter :
NB : la fonction DEP est activée par défaut dans
le navigateur Internet Explorer 8 ;
- tenir à
jour son antivirus. Les
éditeurs ont déjà ou vont bientôt publier
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant cette faille
;
- configurer
son logiciel de messagerie pour afficher les messages au format
texte plutôt que HTML (menu Outils > Options > onglet
Lecture > cocher "Lire tous les messages en texte clair"
dans Outlook Express ou Outils > Options > onglet Préférences
> bouton Options de la messagerie > cocher "Lire tous
les messages standard au format texte brut" dans Outlook)
et utiliser les paramètres de sécurité les
plus élevés (menu Outils > Options > onglet
Sécurité > sélectionner "Zone sites
sensibles" dans Outlook Express ou Outlook) ;
- désactiver
l'option "Active scripting" dans les zones de sécurité
"Internet" et "Intranet Local" du navigateur
Internet Explorer. Il est possible d'ajouter les sites sûrs
habituellement consultés dans la zone "Sites de confiance"
pour éviter que la désactivation de cette option
ne perturbe leur affichage, mais dans ce cas l'utilisateur n'est
plus protégé si l'un de ces sites devait être
piraté de manière à afficher du code malicieux
;
- utiliser
un autre navigateur tel que Firefox ou Opera en attendant la disponibilité
d'un correctif.
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
-> Microsoft
Security Advisory (979352) (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|
