Microsoft : une faille dans Windows peut révéler des informations
Du moins si vous utilisez Internet Explorer
Microsoft vient de publier un nouveau bulletin relatif à une faille découverte dans plusieurs versions de Windows. La fiche d’informations fait suite à plusieurs rapports publics, signifiant que les détails de l’exploitation de la faille sont déjà entre les mains des auteurs de malwares en tous genres.La vulnérabilité réside dans la manière dont MHTML interprète les requêtes MIME pour des blocs de contenu dans un document, ou plus généralement une page web. Microsoft indique que dans certaines conditions, il est possible que cette faille permette à un utilisateur malveillant d’injecter un script côté client en réponse à une requête Web formée depuis Internet Explorer. Le script peut alors révéler des informations sensibles et effectuer sur la page toutes les actions que pourrait entreprendre l’utilisateur.
MHTML est un format de fichier ouvert et normalisé par l’IETF (Internet Engineering Task Force) et qui permet de créer un fichier HTML contenant tous les éléments externes de cette page, au format MIME. Ce dernier, signifiant Multipurpose Internet Mail Extensions, a été créé pour que puissent transiter par email l’ensemble des données non-textuelles.
Cela signifie donc que le problème réside dans Internet Explorer, et non pas dans les formats de données proprement dits. Microsoft indique travailler avec l’ensemble des partenaires MAPP (Microsoft Active Protections Program) pour que l’information transite vers les clients, ainsi qu’avec les fournisseurs d’accès pour créer des protections côté serveurs. Toutefois, l’éditeur engage également les internautes à mettre en place quelques mesures pour se prémunir.
Certains facteurs limitent l’efficacité de l’exploitation de la faille :
- Internet Explorer sur Windows Server 2003, 2008 et 2008 R2, s’exécute en mode limité
- Toutes les versions supportées d’Outlook, Outlook Express et Windows Mail ouvrent les emails en HTML en zone « Sites limités », ce qui désactive les scripts. Il reste tout de même la possibilité de cliquer sur le lien pour mener vers une attaque basée sur le web.
- L’attaque via le web demande que l’utilisateur vienne à cliquer sur un lien spécialement conçu pour débuter l’attaque.
- Passer les zones de sécurité Internet et Intranet local à « Élevé » pour les contrôles ActiveX et Active Scripting
- Configurer Internet Explorer pour toujours demander la permission avant d’exécuter un contenu Active Scripting, ou désactiver complètement ce dernier (Menu Outils, Options Internet, onglet sécurité, Internet puis Niveau personnalisé, sous Paramètres, section Scripting, sous Active Scripting, cliquer sur Demander ou Désactiver, même opération pour Intranet local).
Toutes les éditions supportées de Windows sont touchées :
- Windows XP, Service Pack 3 inclus
- Vista, Service Pack 2 inclus, 32 et 64 bits
- Windows 7, 32 et 64 bits
- Windows Server 2003, Service Pack 2 inclus, 32 et 64 bits (x64 et IA64)
- Windows Server 2008, Service Pack 2 inclus, 32 et 64 bits (x64 et IA64)
- Windows Server 2008 R2, 32 et 64 bits (x64 et IA64)
Source :
Microsoft
Vincent Hermann
le 31 janvier 2011 à 09:59
(27 819
lectures)
Actualités et brèves relatives
- 12 / 01 / 2011 : Microsoft : bulletins de sécurité de janvier 2011
- 05 / 01 / 2011 : Microsoft : une faille 0-day exploitable à travers les miniatures
- 27 / 12 / 2010 : Internet Explorer : faille liée aux CSS dans les versions 6, 7 et 8
- 24 / 12 / 2010 : Pour AVG, Google Chrome est un cheval de troie
- 17 / 12 / 2010 : Security Essentials : l'antivirus gratuit de Microsoft en version 2.0
- 15 / 12 / 2010 : Microsoft : 17 bulletins de sécurité pour décembre 2010
- 26 / 11 / 2010 : Sécurité : faille 0-day découverte dans Windows XP, Vista et 7
- 15 / 11 / 2010 : L'antivirus gratuit Security Essentials 2.0 est disponible en bêta 2
