Discussion :

[Michael Guilloux]

Microsoft publie une mise à jour de sécurité critique
Pour corriger une vulnérabilité d’exécution de code à distance dans Internet Explorer

Une semaine après le Patch Tuesday d’Août 2015, Microsoft publie un nouveau bulletin de sécurité relatif à la correction d’une faille de sécurité dans Internet Explorer (IE). Cette vulnérabilité pourrait permettre à un attaquant d’exécuter un code à distance, si un utilisateur affichait une page Web spécialement conçue en utilisant Internet Explorer.

« Un attaquant qui exploite avec succès cette vulnérabilité pourrait obtenir les mêmes droits d'utilisateur que l'utilisateur courant ». En d’autres termes, si l'utilisateur est connecté avec des privilèges d'administrateur, l’attaquant qui réussit à exploiter la vulnérabilité pourrait avoir le plein contrôle d’un système affecté. Il pourrait ainsi « installer des programmes ; afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes dotés de tous les privilèges. Les systèmes où Internet Explorer est utilisé fréquemment sont les plus exposés à cette vulnérabilité », explique Microsoft dans son bulletin de sécurité.

Les clients avec moins de privilèges sur le système subiraient donc moins d’impact que ceux qui possèdent des privilèges d'administrateur. Toutefois, pour qu’un attaquant puisse exploiter la faille de sécurité, il faudrait d’abord une action de l’utilisateur. Ce dernier devrait donc cliquer sur un lien qui le redirige sur le site de l’attaquant, ou encore ouvrir une pièce jointe piégée.

La vulnérabilité affecte toutes les versions d’Internet Explorer à partir d’IE 7. Selon la version vulnérable du navigateur de Microsoft, plusieurs logiciels pourraient être affectés. Il s’agit de Windows Vista, 7, 8 et 8.1, les différents Service Packs associés ainsi que Windows RT et RT 8.1. Si vous utilisez IE 11 sous Windows 10, votre système pourrait également être affecté d’après l’avis de sécurité publié par Microsoft. Windows Server 2008, 2008 R2, 2012 et 2012 R2 sont également affectés par la vulnérabilité.

La mise à jour de sécurité a été classée critique pour IE sur les clients Windows touchés, et modérée pour IE sur les serveurs Windows touchés. Elle vient corriger la vulnérabilité en modifiant la façon dont Internet Explorer traite les objets en mémoire.

Microsoft Edge, le nouveau navigateur par défaut de la firme de Redmond sous Windows 10 n’est pas affecté par la vulnérabilité.

Source : Microsoft Security TechCenter

Et vous ?

Qu’en pensez-vous ?

[RyzenOC]

Microsoft Edge, le nouveau par défaut de la firme de Redmond sous Windows 10 n’est pas affecté par la vulnérabilité.

Les apps modernUi sont exécuter dans des sandbox, donc effectivement cette faille ne doit pas concerner Edge.

[wytes]

Si vous utilisez IE 11 sous Windows 10

Pour les nostalgiques

[Michael Guilloux]

Pour les nostalgiques

Pas forcément. Quand j'ouvre les fichiers pdf par exemple avec Edge, je ne peux que les visualiser sans pouvoir les enregistrer ni les éditer depuis le navigateur. Je les ouvre donc avec IE11 pour pouvoir utiliser mon plugin PDF XChange Viewer, qui me permet de faire tout ça. Il semble que MS Edge ne supporte pas le plugin.

[RyzenOC]

Il semble que MS Edge ne supporte pas le plugin.

Si il supporte flash mais c'est tous.