Microsoft publie une mise à jour urgente pour Internet Explorer, qui corrige plusieurs failles de sécurité

**Djug** · 03/03/2010, 10h09

Mise à jour du 30/03/10 (Djug)
Microsoft publiera cette après midi une mise à jour urgente pour internet explorer, qui corrigera plusieurs failles de sécurité.

Microsoft a annoncé hier la mise en ligne cette après midi d’une mise à jour urgente pour les versions 6 et 7 d’internet explorer.

Ce patch proposé hors cycle du patch Tuesday (un ensemble de correctifs diffusés le deuxième mardi de chaque mois), consiste à corriger des failles qui concernent toutes les versions d’internet Explorer y compris IE8, et sur tous les systèmes d’exploitation y compris Windows 7 et Windows server 2008 R2.

Microsoft n’a pas donner les détailles de ces failles de sécurité qui sont qualifiées de critique, et précise que ce patch concernera en particulier une faille dans les versions 6 et 7 d’internet d’explorer, mais il contient également des correctifs pour 9 autres failles qui affectent également la version 8 du navigateur.

qu'en pensez-vous?

Source :

Microsoft Security Bulletin Advance Notification for March 2010
Internet Explorer Cumulative Update Releasing Out-of-Band
Microsoft Security Bulletin Advance Notification for March 2010

voir aussi:

la rubrique sécurité

Une faille de sécurité d’internet explorer qui se déclenche via la touche F1
sur les anciennes versions de windows.

Microsoft vient de confirmer sur un bulletin d'alerte l’existence d’une faille de sécurité au niveau d’internet explorer (toutes versions confondues) utilisé sur les anciennes versions de ses systèmes d’exploitation, et qui concerne le moteur VBScript et les fichiers Windows Help.

Cette faille de sécurité ne concerne que les systèmes Windows XP, Windows 2000 et Windows server 2003.

Selon Maurycy Prodeus le chercheur qui a découvert cette vulnérabilité, cette faille peut être utilisée en invitant les internautes à un site conçu spécialement pour l’exploiter, et de les inviter à presser la touche F1, ce qui permettra d’exécuter un code arbitraire sur la machine de la victime.

Microsoft n’a pas encore publié de correctifs pour cette faille, mais en attendant le prochaine « Patch Tuesday» prévu le 9 mars prochain et qui peut contenir un correctif pour cette faille, David Ross propose sur le blog sécurité de microsoft deux solutions temporaires :

- Ne jamais presser la touche F1 si un site internet le demande.

- Ou utiliser la commande suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

cacls "%windir%\winhlp32.exe" /E /P everyone:N

Pour désactiver l'aide de Windows

Qu’en pensez-vous ?

Source :

Le bulletin d'alerte de microsoft

Le blog de sécurité de microsoft

Voir aussi :

Black Hat : Une faille dans IE transforme tout PC en un serveur public

La rubrique sécurité

**deverdeb** · 03/03/2010, 11h10

Une de plus...
Ce que j'en pense : Rien.
Nul logiciel n'est parfait, surtout pas IE.

**bubulemaster** · 03/03/2010, 11h23

Pour les linuxiens ? Simplement ceux qui n'utilisent pas IE (FireFox, Safari, Chrome, Opera...)

Les linuxiens réagissent à windows pas IE.

**Faiche** · 03/03/2010, 11h26

(lueur d'espoir) peut être qu'ils vont enfin désactiver ce #¤*! de F1 !

**mrjay42** · 03/03/2010, 11h54

[Voix de Coluche]
Ouiii heeu toussaaa, avec mes camaraaaades linuxiens, comme on a souvent raison, on s'autorise à penser que Internet Explorer est un navigateur de m...
[/Voix de Coluche]

Trêve de plaisanterie...
Comme cela a déjà été dit, des failles, y'en a souvent, y'en a partout, et pas seulement sur des softs propriétaires, fermés et qui ne respectent pas les normes.

N'empeche c'est quand même assez étonnant "une faille si on appuie sur F1"...Je n'y connais pas grand chose, mais je me demande comment cela fonctionne

**flipflap** · 03/03/2010, 12h05

"...Je n'y connais pas grand chose, mais je me demande comment cela fonctionne

... en appuyant avec le doigt ???

**Jidefix** · 03/03/2010, 12h18

Envoyé par Djug

Qu’en pensez-vous ?

Qu'ils savent plus quoi inventer pour faire migrer les gens vers seven...

**mrjay42** · 03/03/2010, 12h19

Envoyé par flipflap

... en appuyant avec le doigt ???

Mais nooon...
Je voulais dire :
Comment fonctionne l'exploitation d'une telle faille, basée sur le fait d'appuyer ou non sur une touche ? D'autant plus quand il s'agit de la touche F1 chargée d'afficher l'aide....

**zul** · 03/03/2010, 12h40

On peut supposer justement que l'appel à F1 lance l'éxecution d'un processus (lié à la gestion de l'aide en général) interprétant des données venant de la page courante. Celle-ci est contrôlée entièrement par l'attaquant, il peut, si justement il y a un bug dans ce processus, éxecuter ce qu'il veut.

Sinon, j'aime beaucoup le "ne concerne que XP, 2K, 2K3". C'est un peu ne concerne que 70% des systèmes (si l'on en croit les statistiques présentés dans un autre thread). Allez n'ayons pas peur, ça fera que "quelques" botnets en plus

.

Autre solution : -> arrêter d'utiliser IE ?

**superness64** · 03/03/2010, 13h23

Vous n'avez pas tout compris, c'est une nouvelle méthode pour faire de son PC un serveur de fichier en un Clique, euh... plutôt en une touche !!!!

**yoyo88** · 03/03/2010, 13h24

Pour la faille, c'est pas bien grave, puisque même certains ici sur le forum ignorent l'existence de la touche F1

**mrjay42** · 03/03/2010, 13h30

Pour revenir sur la partie "technique" de cette info :
Ce qui m'étonne, c'est que l'aide que l'on obtient en appuyant sur F1, dans IE est une aide locale : elle fait appel à un .chm (probablement binarisé, quoique...) se trouvant sur la machine cliente.
Du coup, c'est pour cela que je ne comprends pas en quoi et comment l'utilisation de F1 peut permettre une attaque...

Invité · 03/03/2010, 15h14

Envoyé par Djug

Qu’en pensez-vous ?

A faire une bonne blague aux utilisateurs d'IE6 en forçant l'installation d'IE7

**ILP** · 03/03/2010, 15h32

Envoyé par Djug

Cette faille de sécurité ne concerne que les systèmes Windows XP, Windows 2000 et Windows server 2003.

Dans la version de base, oui. Mais si on installe le support des fichier HLP, Vista et Seven deviennent victimes de la faille.
Malheureusement plein de vieux programmes installent WinHlp32.exe pour pouvoir lire leurs fichiers d'aide

.

**pmithrandir** · 03/03/2010, 17h51

Envoyé par Djug

David Ross propose sur le blog sécurité de microsoft deux solutions temporaires :

- Ne jamais presser la touche F1 si un site internet le demande.

- Ou utiliser la commande suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

cacls "%windir%\winhlp32.exe" /E /P everyone:N

Pour désactiver l'aide de Windows

Ils ne sont pas capable de faire un correctif d'urgence pour désactiver l'aide temporairement ?
Ça me parait la base, surtout que ça doit pas peser lourd comme modification en ko et que du même coup tous ceux qui leur font confiance restent en sécurité...(maj auto de windows update)

**smyley** · 03/03/2010, 23h30

Envoyé par pmithrandir

Ils sont pas foutu de faire un correctif d'urgence pour désactiver l'aide temporairement ?

Il faut croire que c'est à la mode de laisser les utilisateurs faire le boulot ... un peu comme avec Adobe

**dams78** · 04/03/2010, 10h13

Envoyé par pmithrandir

Ils sont pas foutu de faire un correctif d'urgence pour désactiver l'aide temporairement ?
Ca me parait la base, surtout que ca doit pas peser lourd comme modif en ko et que du même coup tous ceux qui leur font confiance reste en sécurité...(maj auto de windows update)

Moi j'aime bien le "n'appuyer pas sur F1", à la prochaine faille de sécurité de Windows ils vont dire de ne plus allumer son ordinateur?