IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

IE Discussion :

Nouvelle vulnerabilité 0-day dans Internet Explorer 6,7 et 8


Sujet :

IE

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 325
    Points
    252 325
    Billets dans le blog
    117
    Par défaut Nouvelle vulnerabilité 0-day dans Internet Explorer 6,7 et 8
    Microsoft publie une nouvelle solution pour sécuriser Internet Explorer
    Contre des attaques utilisant les feuilles de style

    Mise à jour du 12/01/11


    Microsoft vient de publier une nouvelle solution de contournement pour se protéger contre une vulnérabilité récemment dévoilée touchant Internet Explorer.

    Microsoft, qui prend la situation très au sérieux, avait déjà tiré la sonnette d'alarme et émis un bulletin d'alerte. Un billet expliquant comment réduire les risques d'attaque avait été publié.

    Pour mémoire la faille se situe au niveau du moteur HTML. Elle peut être exploitée lorsque le navigateur traite des fichiers CSS (Cascading Style Sheets) avec pour résultat, une possible exécution d'un code arbitraire via une page Web malicieuse (lire ci-avant).

    Aujourd'hui, Microsoft fait état de possibles attaques, mais limitées, de la part de pirates qui auraient tenté d'exploiter cette vulnérabilité.

    Dans un souci d'offrir une meilleure protection aux utilisateurs avant la sortie d'un correctif, Microsoft publie donc une nouvelle solution de contournement dans un package MSI qui utilise la boite à outils de compatibilité des applications Windows pour faire une petite modification dans le fichier MSHTML.DLL chaque fois qu'il est chargé par Internet Explorer. Cette modification permet au navigateur d'arrêter le traitement d'un fichier CSS si celui-ci contient du code malveillant.

    La firme souligne que la solution de contournement ne marche que si les dernières mises à jour de sécurité publiées ont été appliquées, y compris la MS10-090 publiée le 14 décembre 2010.

    Des travaux sont en cours pour la publication d'un correctif, qui devrait être intégré dans le prochain patch Tuesday.

    la solution de contournement peut-être téléchargée sur cette page.

    La mise à jour de sécurité MS10-090 est sur cette page.

    Source : Blog de Microsoft


    En collaboration avec Gordon Fowler


    Maj de Hinault Romaric

    Nouvelle vulnerabilité 0-day dans Internet Explorer 6,7 et 8
    Qui permet l’exécution de code distant



    Une nouvelle vulnérabilité 0-day dans le navigateur de Microsoft, Internet Explorer vient d'être identifiée.

    La vulnérabilité pourrait être exploitée par des pirates afin de prendre un contrôle à distance du système vulnérable.

    La faille se situe au niveau du moteur HTML d'Internet Explorer et peut être exploitée lorsque le navigateur traite des fichiers CSS (Cascading Style Sheets). Avec pour résultat, la possible exécution d'un code arbitraire via une page Web malicieuse.

    La vulnérabilité touche les versions 7 et 6 d'internet Explorer sur Windows XP SP3, ainsi que la version 8 sur Windows 7. Et ce malgré les améliorations de sécurité Data Execution Prevention (DAP) et Address Space Layout Randomisation (ASLR) introduite dans Windows 7.

    En ce qui concerne la version beta d'Internet Explorer 9 aucun détail n'a été donné sur la possibilité que celle-ci soit touchée ou non.

    D'après Microsoft, une preuve de faisabilité a été publiée par le projet Metasploit, une démonstration qui exploite la vulnérabilité en utilisant une technique qui permet de contourner les défenses de sécurité DAP et ASLR de Windows 7.

    Microsoft a donc tiré la sonnette d'alarme et émis un bulletin d'alerte. Aucun correctif n'est cependant encore mis à la disposition des internautes, mais Microsoft surveille de très près la situation et à déjà publié un billet expliquant comment réduire les risques d'une attaque via cette vulnérabilité. En résumé, Microsoft conseille d'installer Enhanced Mitigation Experience Toolkit (EMET).

    Les recommandations de Microsoft et EMET sont disponibles depuis cette page
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    août 2010
    Messages
    1 621
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : août 2010
    Messages : 1 621
    Points : 3 644
    Points
    3 644
    Par défaut
    La recommandation c'est de s'en tenir au principal usage d'Internet Explorer, c'est-à-dire télécharger un autre navigateur, Opera 11 ou Firefox 4 (quand il sera prêt) par exemple.
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  3. #3
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 325
    Points
    252 325
    Billets dans le blog
    117
    Par défaut
    Microsoft publie une nouvelle solution pour sécuriser Internet Explorer
    Contre des attaques utilisant les feuilles de style

    Mise à jour du 12/01/11

    Microsoft vient de publier une nouvelle solution de contournement pour se protéger contre une vulnérabilité récemment dévoilée touchant Internet Explorer.

    Microsoft, qui prend la situation très au sérieux, avait déjà tiré la sonnette d'alarme et émis un bulletin d'alerte. Un billet expliquant comment réduire les risques d'attaque avait été publié.

    Pour mémoire la faille se situe au niveau du moteur HTML. Elle peut être exploitée lorsque le navigateur traite des fichiers CSS (Cascading Style Sheets) avec pour résultat, une possible exécution d'un code arbitraire via une page Web malicieuse (lire ci-avant).

    Aujourd'hui, Microsoft fait état de possibles attaques, mais limitées, de la part de pirates qui auraient tenté d'exploiter cette vulnérabilité.

    Dans un souci d'offrir une meilleure protection aux utilisateurs avant la sortie d'un correctif, Microsoft publie donc une nouvelle solution de contournement dans un package MSI qui utilise la boite à outils de compatibilité des applications Windows pour faire une petite modification dans le fichier MSHTML.DLL chaque fois qu'il est chargé par Internet Explorer. Cette modification permet au navigateur d'arrêter le traitement d'un fichier CSS si celui-ci contient du code malveillant.

    La firme souligne que la solution de contournement ne marche que si les dernières mises à jour de sécurité publiées ont été appliquées, y compris la MS10-090 publiée le 14 décembre 2010.

    Des travaux sont en cours pour la publication d'un correctif, qui devrait être intégré dans le prochain patch Tuesday.

    la solution de contournement peut-être téléchargée sur cette page.

    La mise à jour de sécurité MS10-090 est sur cette page.

    Source : Blog de Microsoft



    En collaboration avec Gordon Fowler
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

Discussions similaires

  1. Faille zero-day découverte dans Internet Explorer
    Par Hinault Romaric dans le forum IE
    Réponses: 9
    Dernier message: 20/09/2012, 14h44
  2. Réponses: 4
    Dernier message: 05/01/2011, 19h35
  3. Réponses: 1
    Dernier message: 03/01/2011, 16h36
  4. [BCB 5.0] Ajouter un bouton dans internet explorer
    Par GthrDns dans le forum C++Builder
    Réponses: 2
    Dernier message: 01/02/2004, 22h54
  5. Comment récupérer les adresses WWW dans Internet Explorer ?
    Par chaours dans le forum Web & réseau
    Réponses: 7
    Dernier message: 03/09/2003, 14h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo