> Tous les forums > Forum Sécurité
 Vulnérabilité 0day dans Internet Explorer ?Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
tarek13
  Posté le 29/12/2012 @ 12:43 
Aller en bas de la page 
Astucien

Bonjour

Les experts en sécurité avertissent que des pirates pourraient exploiter une vulnérabilité récemment découverte dans Internet Explorer. Alors que la faille semble avoir été principalement utilisée dans des attaques ciblées à ce jour, cette vulnérabilité pourrait être plus largement exploitée si elle était intégrée dans des logiciels commerciaux criminels.

Vendredi soir,dans un blog, le fournisseur de sécurité FireEye annonçait avoir constaté que le site Web du Council on Foreign Relations (Conseil des Relations Étrangères) a été compromis et truqué pour exploiter une faille non documentée dans IE8, pour installer des logiciels malveillants sur des ordinateurs vulnérables.

Selon FireEye, l'attaque utilise Adobe Flash pour exploiter une vulnérabilité dans le dernier (entièrement patché) version d'IE8. Dustin Childs, responsable du groupe d'intervention pour les communications chez Microsoft, a déclaré que la vulnérabilité semble exister dans les versions précédentes de IE.

Pire encore, les pirates seraient en mesure de le faire sans avoir à installer de logiciel malveillant sur un ordinateur.

Ils peuvent y accéder simplement en achetant un espace publicitaire sur un site Web.

Démonstration, en vidéo.

Sources: NakedSecurity; dottech; krebsonsecurity;...



Modifié par tarek13 le 29/12/2012 13:03
Publicité
lagagoule
 Posté le 31/12/2012 à 11:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

bonjours et joyeuses fête.

Microsoft confirme une faille 0-Day sur Internet Explorer

La firme vient de confirmer l'existence d'une faille de sécurité sur les versions 6, 7 et 8 de son navigateur. Si Internet Explorer 9 et 10 ne sont pas concernés par la vulnérabilité, Microsoft indique qu'une mise à jour de sécurité, éventuellement hors-cycle, sera prochainement proposée aux utilisateurs
La suite sur Clubic.com : Microsoft confirme une faille 0-Day sur Internet Explorer

tarek13
 Posté le 31/12/2012 à 13:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour lagagoule

Cette Vulnérabilité critique (non corrigée encore) a déjà été confirmée par Microsoft, le samedi 29 décembre.

Merci et bonne année.

@+

Ekalb
 Posté le 01/01/2013 à 07:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

tarek13
 Posté le 01/01/2013 à 14:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour

Encore de mauvaises nouvelles pour les utilisateurs de Windows XP (comme moi, même si je ne suis pas un fan de IE), les versions les plus récentes d'Internet Explorer (IE9 et IE10) n'étant pas compatibles avec leur système d'exploitation.

Le code malveillant est servi uniquement pour les navigateurs en anglais (États-Unis), chinois (Chine), chinois (Taiwan), japonais, coréen ou russe.

Microsoft ne semble pas trop pressé pour combler la faille: la société annonce qu'elle prendra « des mesures appropriées afin de protéger ses clients », soit via un patch inclus dans le cycle des mises à jour classique qui a lieu tous les mois (prochain patch tuesday 8 janvier 2013), soit de manière autonome.

Une manière de pousser les utilisateurs à migrer vers IE9 et IE10 ?

Le CCRIC (Centre canadien de réponse aux incidents cybernétiques) recommande aux organisations de consulter l'avis de sécurité 2794220 de Microsoft et de mettre en oeuvre les mesures de contournement proposées afin d'atténuer les risques.

Voici certaines des mesures de contournement proposées :

  • déployer l'outil Enhanced Mitigation Experience Toolkit (EMET);
  • régler les paramètres de sécurité des zones Internet et intranet local à « Haute » afin de bloquer les contrôles ActiveX et les scripts actifs dans ces zones;
  • configurer Internet Explorer pour qu'il demande une autorisation avant d'exécuter un script actif ou qu'il désactive l'exécution de scripts actifs dans les zones de sécurité Internet et intranet local.

Le CCRIC recommande aux administrateurs de faire l'essai de ces mesures de contournement en tenant compte de l'état de l'organisation sur le plan de la sécurité avant de procéder à leur déploiement.

internetexplorer8

Hebergeur d'image

Ekalb
 Posté le 01/01/2013 à 16:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Sur la page que j'ai indiquée:

tarek13
 Posté le 01/01/2013 à 18:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir

Les mesures de contournement ont été proposées par Le CCRIC le 31 décembre 2012, certainement en attendant la publication du "Fix it", le même jour.

Ce Fix it n'est pas pas un patch, mais une méthode simple de contournement.

À ce stade, il est fortement recommandé d'appliquer le correctif, surtout pour les utilisateurs de windows XP.

Ou encore utiliser un autre navigateur moins "vulnérable", tel que Mozilla Firefox ou Opera...

Hebergeur d'image

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
Processeur AMD Ryzen 5 5600 (AM4, 6 coeurs, 3.5/4.4 GHz, tray) à 70,93 €
70,93 € 120 € -41%
@AliExpress
Batterie portable Ugreen Nexode 140W 25 000 mAh (1xUSB C 100W PD, 1x USB C 45W PD, 1xUSB A 18W) à 79,99 €
79,99 € 119,99 € -33%
@AliExpress
SSD Crucial BX500 SATA 1 To à 66,99 €
66,99 € 79,99 € -16%
@Amazon
Portable 15.6 pouces Lenovo IdeaPad 1 15ALC7 (FullHD, Ryzen 7 5700U, 16 Go, SSD 512 Go, sans OS) à 549 €
549 € 599 € -8%
@Cdiscount
PC portable 14 pouces Acer Aspire 3 A314 (FHD IPS, Ryzen 7 5700U, 16 Go, 512 Go, Windows 11) + sacoche et souris à 499,99 € (+24,95 € à cagnotter)
499,99 € 699,99 € -29%
@Boulanger
Ecran 27 pouces LG Ultragear 27GP850P-B (IPS, WQHD, 165Hz, HDR10, G-sync/FreeSync) à 219,99 € (+10,50 à cagnotter)
219,99 € 250 € -12%
@Rakuten

Sujets relatifs
Vulnérabilité critique dans Internet Explorer
Vulnérabilité critique dans Internet Explorer
Vulnérabilité non corrigée dans Internet Explorer
Vulnérabilité non corrigée dans Internet Explorer
Vulnérabilité critique dans Internet Explorer
**Vulnérabilité Internet Explorer.**
Mise à jour d'Adobe Flash Player dans Internet Explorer
Nouveau bug zero-day dans Internet Explorer 9 et 10
Vulnérabilités 0-day dans Internet Explorer sous XP ou W7
Faille 0-day dans Internet Explorer
Plus de sujets relatifs à Vulnérabilité 0day dans Internet Explorer ?
 > Tous les forums > Forum Sécurité