Internet Explorer : une faille de sécurité activement exploitée

[jean épas]

Alors qu’Adobe fait face à une fuite de sécurité particulièrement importante, les utilisateurs d’Internet Explorer vont devoir prendre leurs précautions. Une faille déjà exploitée a vu ses détails devenir publics, augmentant le risque d’une large exploitation. Bien que Microsoft ait déjà publié une solution temporaire, un correctif définitif se fait attendre.

 

https://static.pcinpact.com/images/bd/news/medium-139550.png

 

Une faille exploitée depuis des semaines 

 

Sale temps pour la sécurité. Alors que le grand public découvre avec stupeur les répercussions de l’affaire Prism et le peu de cas qui est fait de leur vie privée, Adobe annonce que les informations personnelles de 2,9 millions de clients se retrouvent dans la nature. Et comme si cela ne suffisait pas, une faille touchant toutes les versions du navigateur le plus utilisé, Internet Explorer, est activement exploité.

 

La faille a été décrite pour la première fois le 17 septembre. À ce moment, Microsoft parlait essentiellement desversions 8 et 9 d’Internet Explorer, avant d’indiquer que toutes les versions actuellement supportées pouvaient être touchées. Dans la pratique, c’est bien le cas, et les moutures 10 et 11, intégrée à Windows 8 et 8.1, sont concernées, qu’il s’agisse de versions 32 ou 64 bits.

 

Située dans le moteur HTML, pour toutes les versions supportées

 

La faille se situe au sein du moteur HTML d’Internet Explorer, dans le fichier mshtml.dll. Sur le site Common Vulnerabilities and Exposures (CVE), on peut ainsi lire que la brèche concerne l’implémentation de la fonction « SetMouseCapture ». Selon le propre bulletin de Microsoft, il existe un problème dans la manière dont le navigateur accède à un objet particulier en mémoire, qu’il ait été supprimé ou correctement alloué. La finalité est qu’un attaquant qui exploiterait la faille pourrait réussir à faire exécuter un code arbitraire sur la machine de l’internaute.

 

À ce moment-là, Microsoft indiquait encore que quelques attaques dirigées contre Internet Explorer 8 et 9 avaient été repérées. Une solution de type Fix-It avait donc été mise en place. Disponible comme souvent sous la forme d’un MSI, elle permettait de parer au plus urgent en modifiant certains réglages, évitant ainsi à la faille de fonctionner. Le problème étant évidemment que la faille elle-même était bien encore présente.

 

Le correctif définitif le mardi 8 octobre 

 

Le correctif, attendu depuis, n’est toujours pas disponible. Et les choses s’accélèrent car si quelques attaques avaient été recensées, les détails de la faille étaient restés confidentiels, ce qui n’est plus le cas aujourd’hui. Les informations d’exploitation ont en effet été intégrées dans le kit Metasploit. Dans la dernière version, publiée lundi, de ce framework destiné autant aux hackers qu’aux professionnels de la sécurité, tout le nécessaire est disponible pour une exploitation à plus large échelle.

 

Mais l’attente est presque terminée puisque le correctif définitif fera son apparition mardi prochain dans le lot des huit bulletins annoncés pour le mois d’octobre. Il s’agira d’ailleurs d’un patch cumulatif pour Internet Explorer, estampillé MS13-080. Que faire en attendant ? Si ce n’est pas déjà fait, appliquez la solution Fix-It qui permettra d’éviter les situations problématiques. Comme toujours, faites attention aux sites que vous visitez. Il reste également la possibilité d’utiliser un autre navigateur le temps que la brèche soit colmatée.

 

Source: pcinpact

[admin]

Je me méfie, les journalistes ont tendansent à s'emflamer à la moindre petite faille et la majorité ne sont pas exploitable.

 

Mais celle-ci à l'air sérieuse donc mieux vaux utiliser un autre navigateur en attendant.

[jean épas]

Surtout que l'exploit a été ajouter a metasploit.