Vulnérabilité
critique non corrigée dans Internet Explorer (03/11/10)
MAJ 14/12/10 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans le navigateur Internet Explorer de Microsoft.
L'exploitation d'une erreur dans la gestion des feuilles de style
(.CSS) peut permettre à un individu malveillant ou à
un virus d'exécuter à distance du code malicieux sur
l'ordinateur de sa victime à l'ouverture d'une page web piégée.
LOGICIEL(S)
CONCERNE(S) :
Microsoft Internet Explorer 8.0
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0
RISQUE :
Critique
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, car ce défaut
de sécurité a été découvert alors
qu'il était déjà exploité de façon
malveillante (0-day). En attendant la publication d'un correctif
officiel, les utilisateurs concernés peuvent appliquer les
mesures suivantes afin de réduire les risques d'exploitation
malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- tenir à
jour son antivirus. Les
éditeurs ont déjà ou vont bientôt publier
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant cette faille
;
- installer
la version 8.0 d'Internet Explorer via WindowsUpdate
(pour les utilisateurs qui ne l'auraient pas déjà
fait) ou activer la fonction DEP (Data Execution Prevention) dans
Internet Explorer 7.0 (voir cette
page). Cette fonction DEP, activée par défaut
dans Internet Explorer 8.0, limite l'exécution des codes
malicieux ;
- configurer
son logiciel de messagerie pour afficher les messages au format
texte plutôt que HTML (menu Outils > Options > onglet
Lecture > cocher "Lire tous les messages en texte clair"
dans Outlook Express ou Outils > Options > onglet Préférences
> bouton Options de la messagerie > cocher "Lire tous
les messages standard au format texte brut" dans Outlook)
et utiliser les paramètres de sécurité les
plus élevés (menu Outils > Options > onglet
Sécurité > sélectionner "Zone sites
sensibles" dans Outlook Express ou Outlook) ;
- définir une feuille de style personnalisée dans
Internet Explorer afin d'outrepasser la feuille de style définie
par les sites web visités, susceptible de contenir du code
malicieux exploitant cette faille (voir l'alerte
Microsoft, section "Workarounds" - "Override
the Web site CSS style with a user defined CSS") ;
- utiliser
un autre navigateur tel que Firefox, Opera ou Chrome en attendant
la disponibilité d'un correctif.
Les utilisateurs
concernés peuvent également s'abonner gratuitement
à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS
COMPLEMENTAIRES :
-> Microsoft
Security Advisory (2458511) (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|