Bonsoir,

Microsoft a confirmé les rapports d'attaques actives qui installent subrepticement des logiciels malveillants sur les ordinateurs utilisant la version 10 du navigateur Internet Explorer.

"Microsoft is aware of targeted attacks against Internet Explorer, currently targeting customers using Internet Explorer 10,"

a spokeswoman wrote in a statement e-mailed Thursday. "We are investigating and we will take action to help protect customers."

Cette déclaration confirme un rapport publié aujourd’hui par des chercheurs de la firme de sécurité FireEye.

Il semblerait que ces attaques émanent d'un site américain, deux jours seulement après la publication de l'énorme Patch IE.

Il n'y a pas plus de détails pour le moment.

Via: Ars Technica; Computerworld.

Bonjour,

J'ajoute que les versions antérieures sont également concernées.

Dans l'attente d'un correctif, il est fortement recommandé de ne pas utiliser ce navigateur.

Profitez-en pour tester un deux qui méritent attention:

Mozilla Thunderbird

Opera

@+

Bonjour Nardino,

Profitez-en pour tester un deux qui méritent attention:

Mozilla Thunderbird

Tu voulais sans doute écrire Mozilla Firefox?

L'attaque viserait un site des Vétérans américains "US Veterans of Foreign Wars"

Update: "The flaw affects IE9 as well as IE10 (previously it was believed only the latter was affected. Furthermore, the US site in question is Veterans of Foreign Wars; you can read more about FireEye’s investigation of the attack here." The Next Web

Bonjour,

Exact pour Firefox.

Mozilla Firefox

@+

njour,

* Avis de sécurité Microsoft (2934088)
- Titre: Une vulnérabilité dans Internet Explorer pourrait permettre à distance
L'exécution de code
- https://technet.microsoft.com/security/advisory/2934088
- Révision Note: V1.0 (19 Février, 2014): Avis publié.

Résumé

Microsoft a connaissance d'attaques limitées et ciblées qui tentent d'exploiter une vulnérabilité dans Internet Explorer 10. Seul Internet Explorer 9 et Internet Explorer 10 sont concernés par cette vulnérabilité. Les autres versions de Internet Explorer ne sont pas affectés. L'application de la solution Fix it de Microsoft, "MSHTML Shim Solution," empêche l'exploitation de cette question. Voir la section Actions suggérées de cet avis pour plus d'informations.

Microsoft is aware of limited, targeted attacks that attempt to exploit a vulnerability in Internet Explorer 10. Only Internet Explorer 9 and Internet Explorer 10 are affected by this vulnerability. Other supported versions of Internet Explorer are not affected. Applying the Microsoft Fix it solution, "MSHTML Shim Workaround," prevents the exploitation of this issue. See the Suggested Actions section of this advisory for more information.

Edit:

"Il faut donc croire que la faille de sécurité CVE-2014-0322 est particulièrement sévère.

Il ne faudrait pas attendre le prochain Patch Tuesday de Mars (pour que cette vulnérabilité soit corrigée) puisque Microsoft propose d'ores et déjà un patch de première nécessité via l'article KB2934088 de sa base de connaissances.

Ce Fix it 51007, aussi appelé MSHTML Shim Workaround, se présente sous la forme d'un exécutable MSI de 1 Mo.

Comme pour tous les Fix it, Microsoft ne propose pas ce correctif sur Windows Update, ce qui aurait pourtant été la meilleure solution pour patcher rapidement un maximum de machines vulnérables.

La version finale et pleinement vérifiée de ce patch sera par contre présente dans la vague de correctifs de Mars.

L'installation immédiate de ce patch est vivement recommandée! En cas d'effets indésirables, il est possible de revenir en arrière avec un second exécutable MSI." Touslesdrivers.com

Bonsoir,

La faille zero-day dans IE9 et IE10 activement exploitée.

La migration vers IE11 ou l'application d'un patch vivement conseillée.

Symantec affirme que si les attaques réussissent, elles aboutissent à un cheval de Troie bancaire, nommé Infostealer.Bankeiya, en vue de voler des informations d’authentification de comptes bancaires.

Pour se protéger des attaques qui sont en pleines expansions, Symantec recommande de passer à Internet Explorer 11 afin d’écarter les probabilités d’infection ou d’installer Microsoft Fix It identifié par le code « KB2934088 ».

Toutefois, Microsoft n’a pas encore fourni un correctif permanent pour ladite faille, il devrait sortir lors du prochain « Patch Tuesday » prévu pour mars prochain.

Via Developpez.com;ComputerworldUK

Bonjour,

La grave vulnérabilité affectant Internet Explorer 9 et 10 va être corrigée (par le "bulletin 1") mardi prochain lors du prochain Patch Tuesday.

Qualifié de critique, le bulletin "bulletin 1" ne se limite pas à Internet Explorer 9 et 10, mais va aussi mettre à jour toutes les versions supportées d'Internet Explorer y compris IE 11.