La faille d'IE bientôt corrigée, McAfee prend les devants (màj)
C’était ça ou attendre les prochains bulletins dans trois semaines
Mise à jour : Microsoft a indiqué dans un nouveau bulletin de sécurité que la faille serait corrigée aujourd'hui.
Récemment, l’attaque perpétrée contre Google en Chine a lancé une vaste polémique. Cette dernière s’est renforcée après la découverte d’une faille dans Internet Explorer qui l’avait rendue possible. Bien que présente dans les versions 6, 7 et 8 du navigateur, elle n’est réellement exploitée que dans la 6.
Microsoft a annoncé via George Stathakopoulos que cette faille allait faire l’objet d’une mise à jour de sécurité spéciale qui sortirait du cadre normal des cycles de mises à jour. Ces derniers prévoient en effet un lâché de correctifs tous les deuxièmes mardis de chaque mois. Problème : le dernier en question date de la semaine dernière. Dans la configuration actuelle du calendrier, il faudrait attendre trois semaines avant de voir arriver les prochains bulletins de sécurité.
Il aurait été difficile à Microsoft de faire autrement. La polémique a enflé au point que les gouvernements français, allemand et australien recommandent officiellement de changer de navigateur jusqu’à ce que la brèche soit colmatée. Microsoft, qui estime que ce conseil est disproportionné, indique que l’installation d’Internet Explorer 8 règle le problème, même si ce n'est en fait pas réellement le cas. L'espace isolé et l'ASLR sous Vista et Windows 7 bloquent par contre l'exploitation.
L’éditeur n’a donné aucune date, mais on notera que McAfee prend les devants. La société fournit en effet un outil permettant de nettoyer les ordinateurs éventuellement infectés de toutes les menaces de type « Aurora ». Nommé Aurora Stinger, l’outil peut être téléchargé gratuitement depuis le site officiel de McAfee.
Récemment, l’attaque perpétrée contre Google en Chine a lancé une vaste polémique. Cette dernière s’est renforcée après la découverte d’une faille dans Internet Explorer qui l’avait rendue possible. Bien que présente dans les versions 6, 7 et 8 du navigateur, elle n’est réellement exploitée que dans la 6.
Microsoft a annoncé via George Stathakopoulos que cette faille allait faire l’objet d’une mise à jour de sécurité spéciale qui sortirait du cadre normal des cycles de mises à jour. Ces derniers prévoient en effet un lâché de correctifs tous les deuxièmes mardis de chaque mois. Problème : le dernier en question date de la semaine dernière. Dans la configuration actuelle du calendrier, il faudrait attendre trois semaines avant de voir arriver les prochains bulletins de sécurité.
Il aurait été difficile à Microsoft de faire autrement. La polémique a enflé au point que les gouvernements français, allemand et australien recommandent officiellement de changer de navigateur jusqu’à ce que la brèche soit colmatée. Microsoft, qui estime que ce conseil est disproportionné, indique que l’installation d’Internet Explorer 8 règle le problème, même si ce n'est en fait pas réellement le cas. L'espace isolé et l'ASLR sous Vista et Windows 7 bloquent par contre l'exploitation.
L’éditeur n’a donné aucune date, mais on notera que McAfee prend les devants. La société fournit en effet un outil permettant de nettoyer les ordinateurs éventuellement infectés de toutes les menaces de type « Aurora ». Nommé Aurora Stinger, l’outil peut être téléchargé gratuitement depuis le site officiel de McAfee.
Source :
Microsoft
Vincent Hermann
le 21 janvier 2010 à 08:19
(21 477
lectures)
Actualités et brèves relatives
- 20 / 01 / 2010 : Faille : la France et l'Allemagne déconseillent Internet Explorer ...
- 19 / 01 / 2010 : Faille : conseiller l'abandon d'IE est « inutilement effrayant » ...
- 15 / 01 / 2010 : Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google
- 15 / 01 / 2010 : Affaire Google : Microsoft ne quittera pas la Chine
- 15 / 01 / 2010 : Affaire Google : « L’Internet chinois est ouvert » selon la Chine
- 15 / 01 / 2010 : Google.cn serait inaccessible en Chine
- 14 / 01 / 2010 : Menace de Google : la Chine répond par la censure
- 13 / 01 / 2010 : Microsoft : un seul bulletin de sécurité pour janvier 2010
