|
 Posté le 14/06/2012 @ 13:17 |
Astucien
| Bonjour 
"Si Microsoft a corrigé 27 vulnérabilités dans son Patch Tuesday de juin, il y a une omission pointée du doigt par Google.
Une vulnérabilité critique (faille "zero day") au niveau de XML (présente dans toutes les éditions de Windows et toutes les versions d’Office 2003 et 2007 ) est actuellement exploitée. "
"Des attaques utilisant cette vulnérabilité visent à exécuter du code malveillant lorsqu’une victime visite un site Internet piégé.
A défaut encore de véritable correctif, un "pansement" (Fix-it) est proposé par Microsoft."
Microsoft se montre plutôt rassurant en soulignant que du code arbitraire peut être exécuté dans le contexte de l'utilisateur connecté.
Les comptes qui n'ont pas de privilèges administrateur sont donc moins touchés.
Reste que pour Secunia, le niveau de dangerosité est maximal."
Sources: Journal du Net; CNETFrance; Génération NT;..
Modifié par tarek13 le 14/06/2012 13:39 |
|
|
|
|
|
Posté le 14/06/2012 à 19:38 |
| |
|
Posté le 14/06/2012 à 19:50 |
 Astucien | Bonsoir
Si on pouvait donner un petit aperçu (résumé) du contenu au lieu d'un lien, cela aiderait beaucoup et éviterait des "doublons", entre autres. 
Bonne soirée.
|
|
Posté le 14/06/2012 à 19:52 |
| well... mais le titre était parlant |
|
Posté le 14/06/2012 à 19:55 |
Astucien |
Tu as raison. 
Bonne soirée. |
|
Posté le 14/06/2012 à 19:56 |
| Tlm, Tarek !
Quelqu'un pourrait-il nous en dire un peu plus sur ce "niveau de dangérosité maximal" chez Secunia.
Doit-on le désinstaller (Secunia) ou s'en passer en attendant.. ????
Merci.
A+
|
|
Posté le 14/06/2012 à 20:03 |
| ahmedd a écrit :
Tlm, Tarek !
Quelqu'un pourrait-il nous en dire un peu plus sur ce "niveau de dangérosité maximal" chez Secunia.
Doit-on le désinstaller (Secunia) ou s'en passer en attendant..????
Merci.
A+
Mais non...c'est seulement l'appréciation de Sécunia sur cette faille |
|
Posté le 14/06/2012 à 20:15 |
Astucien | Bonsoir ahmedd
Criticality level Extremely critical
"Description
Une vulnérabilité a été rapportée dans Microsoft XML Core Services, qui pourrait être exploitée par des personnes malintentionnées pour compromettre un système utilisateur. La vulnérabilité est due à une erreur lorsque vous tentez d'accéder à un objet en mémoire qui n'a pas été initialisé. L'exploitation réussie permet l'exécution de code arbitraire par exemple incitant un utilisateur à visualiser une page web malicieuse dans Internet Explorer. NOTE: Cette vulnérabilité est activement exploitée. "
Solution
Apply Microsoft Fix it solution.
"désinstaller (Secunia) "?
--------------------------------------------------
"Further insight into Security Advisory 2719615
15 hours ago
During our regular Update Tuesday bulletin cycle this week, we released Security Advisory 2719615, which provides guidance concerning a remote code execution issue affecting MSXML Code Services. As part of that Advisory, we've built a Fix it workaround that blocks the potential attack vector in Internet Explorer. Fix its are a labor-saving mechanism that helps protect customers from a specific issue in advance of a comprehensive security update. We encourage customers to read more about SA2716915's one-click, no-reboot-required Fix it in an in-depth post on the SRD blog.
Thanks --
Angela Gunn
Trustworthy Computing.
Attends l'avis d'un expert. Modifié par tarek13 le 14/06/2012 20:16 |
|
Posté le 14/06/2012 à 20:35 |
| Message original par tarek13
Bonjour
"Si Microsoft a corrigé 27 vulnérabilités dans son Patch Tuesday de juin, il y a une omission pointée du doigt par Google.
Une vulnérabilité critique (faille "zero day") au niveau de XML (présente dans toutes les éditions de Windows et toutes les versions d’Office 2003 et 2007 ) est actuellement exploitée. "
"Des attaques utilisant cette vulnérabilité visent à exécuter du code malveillant lorsqu’une victime visite un site Internet piégé.
A défaut encore de véritable correctif, un "pansement" (Fix-it) est proposé par Microsoft."
Microsoft se montre plutôt rassurant en soulignant que du code arbitraire peut être exécuté dans le contexte de l'utilisateur connecté.
Les comptes qui n'ont pas de privilèges administrateur sont donc moins touchés.
Reste que pour Secunia, le niveau de dangerosité est maximal."
Sources: Journal du Net; CNETFrance; Génération NT;..
salut
le certa met en garde aussi http://www.certa.ssi.gouv.fr/
http://www.certa.ssi.gouv.fr/site/CERTA-2012-ALE-003/index.html |
|
Posté le 14/06/2012 à 20:49 |
|
Re la bande !
Autant pour moi ! J'avais percuté à l'envers, au sujet de Secunia. Maintenant mes idées sont à l'endroit, enfin j'espère, merci... .
 ...A+
|
|
Posté le 14/06/2012 à 20:53 |
Astucien |
Merci lagagoule.
En attendant un hypothétique correctif Microsoft, j'évite IE ( ce n'est pas mon navigateur préféré).
On peut appliquer le Fixit-it ou ces "consignes":
"Which workarounds should you apply?
In a web-based attack scenario, an attacker would have to host a website that contains a specially crafted web page. The vulnerability can be triggered only through the use of Active Scripting, so the following standard workarounds still apply:
- Set Internet and Local intranet security zone settings to “High” to prompt before running ActiveX controls and Active Scripting in these zones.
- Restrict Web sites to only your trusted Web sites.
We consider these, together with disabling MSXML ActiveX controls, to be too disruptive to the Internet Explorer browsing experience to be considered practical for wide adoption. At the same time, we know this vulnerability is actively exploited in the wild for targeted attacks. In such situations, we offer guidance and workarounds in a Security Advisory, in order to protect customers as fully as possibly while we prepare the necessary security update..." swiat ( 13 Jun 2012 6:30 PM)
... Modifié par tarek13 le 14/06/2012 20:56 |
|
À LA UNE
PRATIQUE
LOGITHÈQUE
TABLETTE ET MOBILE
BONS PLANS
FONDS D'ÉCRAN
JEUX
FORUM
Une faille critique dans IE et Office non corrigée
