L'éditeur corrige trois vulnérabilités critiques, dont l'une était déjà exploitée sur le web afin d'installer des spywares. Au menu également : la correction d'une faille importante pour Outlook Express, et un autre pour l'Explorateur Windows.

au sommaire


    Test de phishing

    Test de phishing

    La livraison mensuelle des correctifs MicrosoftMicrosoft apporte cette fois-ci une rustine très attendue : celle qui corrige la vulnérabilité du create TextRange (). La faille permettait d'installer n'importe quoi sur le PC à la visite d'un site web piégé, sans aucune intervention de l'utilisateur. Depuis la publication de son "mode d'emploi" sur plusieurs listes de diffusiondiffusion et par des sites web spécialisés, elle était très utilisée à travers le web pour installer des spywares et adwares à tour de bras.

    En guise de correctif, Microsoft s'était contenté jusqu'à présent de conseiller à ses utilisateurs de désactiver l'exécution des contrôles ActiveXActiveX par Internet Explorer. Une solution radicale s'il en est car, en dépit de la très mauvaise réputation d'ActiveX en matièrematière de sécurité, cette technologie est devenue indispensable à certaines entreprises, notamment pour la télédistribution de clients sur les postes de travail (les auteurs de spywares ne font, finalement, qu'utiliser un outil gracieusement mis à leur disposition !).

    Mais cette solution a montré ses limites : tandis que les utilisateurs d'autres navigateurs vivent très bien sans ActiveX, sa désactivation parmi une population habituée à Internet Explorer aura souvent provoqué des pics d'appels au support technique... et donc coûté de l'argentargent !

    Pour ces entreprises là, le calvaire est terminé : il est maintenant possible d'autoriser à nouveau ActiveX, ou de désinstaller le correctif officieux publié entre temps par deux éditeurs spécialisés. Mais pour les responsables informatique qui se découvrent liés à cette technologie propriétaire sur leurs postes de travail, une réflexion est très certainement au programme...

    Les autres vulnérabilités mentionnées dans ce bulletin concernent notamment à nouveau Internet Explorer (par exemple à travers un autre contrôle ActiveX distribué avec les Microsoft Data Access Components), Outlook Express (à travers l'utilisation d'un fichier de carnet d'adresse piégé) et l'Explorer de Windows (via une vulnérabilité exploitable à la visite d'un serveurserveur distant).

    Note par Jean-Pierre Louvet - Futura-Sciences

    Cette mise à jour ne corrige malheureusement pas la dernière faille découverte sur Internet Explorer. Bien que classée à un niveau moyen par le site spécialisé SecuniaSecunia, elle est préoccupante car un exploit la mettant en oeuvre a été publié. Elle peut être exploitée facilement pour faire du phishingphishing.

    En cliquant sur un lien pointant vers un fichier FlashFlash il est possible, pendant qu'il se charge, de modifier avec un peu de Javascript l'adresse apparaissant dans la barre d'adresse du navigateur. Secunia a construit un test le démontrant de façon spectaculaire : en cliquant sur le lien, Internet Explorer affiche une page Secunia annonçant que le navigateur est vulnérable, tandis que dans la barre d'adresse on lit www.googlegoogle.fr.

    Avec un navigateur non vulnérable on arrive bien sur la page de Google. Firefox présente un cas intermédiaire : on a bien la page de Secunia, mais la barre d'adresse montre l'adresse réelle.