Pour gérer vos consentements :

Microsoft corrige dans l’urgence une faille critique d’Internet Explorer

Microsoft a préféré de ne pas attendre le prochain bulletin de sécurité mensuel en septembre. L’éditeur vient de publier, en urgence, le correctif de sécurité MS15-093 afin de combler une faille critique qui frappe Internet Explorer. Référencée CVE-2015-2502, la vulnérabilité permet, par corruption de la mémoire, l’exécution de code distant par l’intermédiaire d’une page web spécialement créée à cet effet. Il faut donc que l’utilisateur soit amené à visiter cette page infectieuse. Une incitation souvent amenée par l’intermédiaire d’un message accrocheur dans un e-mail de phishing (à moins que l’attaque ne privilégie le vecteur d’une publicité corrompue).

« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur en cours », prévient l’éditeur de Redmond dans son alerte. Un utilisateur pourvu de droits d’administrateur risque donc de se voir plus impacté qu’un utilisateur aux droits limités. L’attaquant sera alors en mesure d’installer ce que bon lui semble sur la machine, d’en prendre le contrôle à distance et de récupérer toutes les données qui y sont stockées à loisir, voire de s’enfoncer dans le reste du réseau de l’entreprise.

Toutes les versions d’IE affectées

De IE7 à IE11, le bug de sécurité touche toutes les versions encore supportées (IE6 en est exclu) du navigateur historique de Microsoft. Son successeur Edge, exclusif à Windows 10, est visiblement épargné par le risque du jour. Mais si la faille d’IE est considérée comme critique pour les versions desktop de Windows Vista/7/10 et même RT (l’environnement dédié aux tablettes Surface sous architecture ARM), Microsoft la classe comme modérée pour les versions Server 2008, 2008 R2, 2012, 2012 R2. Windows Server 2003 n’étant plus supportée par Redmond depuis le 14 juillet, aucune référence n’y est faite. Mais il est très probable que la vulnérabilité y soit aussi présente.

Sur les environnements serveur, les paramètres d’IE sont préconfigurés par défaut pour limiter les surfaces d’attaque par exécution de code. D’où le classement modéré de la faille IE sur ces plates-formes par l’éditeur. Néanmoins, si les paramètres du navigateur ont été modifiés manuellement depuis la mise en route du serveur, il est possible que la vulnérabilité remonte au niveau critique. L’application du correctif est donc plus que recommandée, que ce soit automatiquement (par le service Windows Update généralement activé par défaut sur les postes utilisateurs) ou manuellement en téléchargeant le correctif adéquat (depuis cette page).


Lire également

Microsoft soigne la sécurité de son navigateur web Internet Explorer
Windows 10 : déjà la troisième mise à jour
Pourquoi Windows Server 2003 menace la sécurité du Web

crédit photo © i3d – shutterstock

Recent Posts

Pour son premier LLM codeur ouvert, Mistral AI choisit une architecture alternative

Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…

15 heures ago

Microsoft x Inflection AI : l’autorité de la concurrence britannique lance son enquête

L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…

18 heures ago

Thomas Gourand, nouveau Directeur Général de Snowflake en France

Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…

20 heures ago

Accord Microsoft-CISPE : comment Google a tenté la dissuasion

Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…

20 heures ago

Vers des mises à jour cumulatives intermédiaires pour Windows

Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…

20 heures ago

RH, finances, stratégie… Les complexités de la Dinum

De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…

2 jours ago