Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Microsoft confirme une faille Zero-Day dans IE8


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 849
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 849
    Points : 125 850
    Points
    125 850
    Par défaut Microsoft confirme une faille Zero-Day dans IE8
    Microsoft confirme une faille Zero-Day dans IE8
    qui n’affecte pas les autres versions du navigateur, l’exploit déjà disponible sur Internet

    Selon des données récoltées par Net Applications, IE8 est le navigateur le plus utilisé de la famille de Microsoft.


    Microsoft a publié sur son blog avoir découvert un exploit sur IE8 qui semble ne pas affecter les autres versions.

    La firme explique sur son blog qu’en théorie l’exploit pourrait être utilisé pour permettre une « exécution de code à distance si les utilisateurs accèdent à un site Web malveillant avec un navigateur touché ».

    Le code pour exploiter cette faille critique circule déjà sur Internet. Il a été intégré au Framework Metasploit, un outil de tests de faille qui est disponible gratuitement.

    De plus, la faille a été exploitée pour une attaque d’envergure. Des sous-domaines appartenant au Département américain du travail ont été compromis le week-end dernier par des pirates pour véhiculer le cheval de Troie Poison Ivy.

    Les personnes utilisant cette version du navigateur peuvent simplement mettre à jour vers une version plus récente pour éviter l’exploit. Toutefois, Microsoft travaille sur un correctif de sécurité qui devrait colmater cette faille.

    Si les utilisateurs ne souhaitent néanmoins pas mettre à jour leurs navigateurs, Microsoft propose dans son billet de blog certaines solutions pour contourner le problème.

    La première consiste à définir les paramètres de la zone sécurité Internet et Intranet local au niveau « haut ».

    La seconde est de régler IE8 pour inviter les utilisateurs à s’identifier avant d'exécuter n'importe quel type de script actif de programme ou de simplement désactiver complètement Scripting actif.

    Source : blog Microsoft, Krebs Security

    Et vous ?

    Qu’en pensez-vous ? Utilisez-vous IE8 ? Le mettrez-vous à jour ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé Avatar de s4mk1ng
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juillet 2008
    Messages
    535
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2008
    Messages : 535
    Points : 1 181
    Points
    1 181
    Par défaut
    Ce n'est pas une question que les utilisateurs ne veulent pas mettre à jour mais que Microsoft ayant bloqué la MAJ de Ie si on a pas un OS récent et qu'il y a encore un paquet de PC qui tournent sous XP...
    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn

  3. #3
    Membre émérite
    Avatar de DelphiManiac
    Homme Profil pro
    Homme à tout faire
    Inscrit en
    mars 2002
    Messages
    1 124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Homme à tout faire
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2002
    Messages : 1 124
    Points : 2 433
    Points
    2 433
    Par défaut
    Je ne peut pas m'empêcher en lisant ce genre de news, surtout quand la source est Microsoft, qu'il y a forcément un acte commercial pur et dur.

    "Vous êtes encore sous XP et donc utilisez IE 8, dommage pour vous, vous n'auriez pas eu le problème avec une version plus récente de votre OS, mais rassurez vous, nous travaillons tout de même à la solution."
    Si ce message vous a semblé utile, il est possible qu'il soit utile à d'autres personnes. Pensez au . Et n'oubliez pas le le moment venu !

    On n'a pas à choisir si l'on est pour ou contre la décroissance, elle est inéluctable, elle arrivera qu'on le veuille ou non.

  4. #4
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 475
    Points
    32 475
    Par défaut Microsoft publi une "Fix it" pour le zero day exploit d'IE 8
    Microsoft sort un « Fix it » pour colmater la faille Zero-Day dans IE 8
    Un correctif complet en cours de test

    Après la découverte d’une faille Zero-Day dans IE 8, qui a conduit à l'installation du cheval de Troie Poison Ivy sur de nombreux périphériques, la réponse de Microsoft ne s'est pas faite attendre.

    Pour rappel, la vulnérabilité est décrite comme un problème dans la façon dont laquelle IE 8 accède à un objet en mémoire qui a été supprimé, ou n'a pas été correctement alloué. Les versions d'IE 6, 7, 9 et 10 ne sont pas affectées.

    Pour remédier au problème, la firme de Redmond vient de publier une solution temporaire "Fix It". Elle provoque de petits changements du fichier mshtml.dll chargé en mémoire par IE 8.

    En réponse au Framework populaire de tests de faille Metasploit, qui implémente un exploit pour cette faille, Microsoft recommande l'utilisation d'EMET. À titre de rappel, Emet est un utilitaire de sécurité téléchargeable depuis le site de la société, ajoutant une couche supplémentaire de sécurité grâce à des technologies propriétaires de réduction de risque intégrées, rendant l'exploitation des vulnérabilités logicielles difficile.

    Par ailleurs, un correctif de sécurité complet pour cette faille est en phase de test dans les laboratoires de Microsoft. Sans pour autant donner de date officielle, Microsoft recommande de visiter régulièrement son blog ou le service de notification avancé pour être au courant de sa sortie.


    Télécharger le Fix it

    Source: Blog Microsoft

    Et vous?

    Qu'est ce qui peut justifier la lenteur de la publication du correctif complet de cette vulnérabilité d'IE 8 par Microsoft ?

Discussions similaires

  1. Microsoft corrige trois failles zero-day dans Windows
    Par Hinault Romaric dans le forum Windows
    Réponses: 23
    Dernier message: 31/10/2014, 18h38
  2. Microsoft dévoile une faille de sécurité dans Internet Explorer
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 13
    Dernier message: 06/05/2014, 18h27
  3. Une faille zero day dans Flash Player menace Windows, Mac OS X et Linux
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 6
    Dernier message: 05/05/2014, 14h17
  4. Une nouvelle faille zero-day dans IE10 a été découverte
    Par Francis Walter dans le forum Sécurité
    Réponses: 3
    Dernier message: 28/02/2014, 09h51
  5. Réponses: 28
    Dernier message: 09/12/2013, 12h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo