Microsoft a préféré de ne pas attendre le prochain bulletin de sécurité mensuel en septembre. L’éditeur vient de publier, en urgence, le correctif de sécurité MS15-093 afin de combler une faille critique qui frappe Internet Explorer. Référencée CVE-2015-2502, la vulnérabilité permet, par corruption de la mémoire, l’exécution de code distant par l’intermédiaire d’une page web spécialement créée à cet effet. Il faut donc que l’utilisateur soit amené à visiter cette page infectieuse. Une incitation souvent amenée par l’intermédiaire d’un message accrocheur dans un e-mail de phishing (à moins que l’attaque ne privilégie le vecteur d’une publicité corrompue).
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur en cours », prévient l’éditeur de Redmond dans son alerte. Un utilisateur pourvu de droits d’administrateur risque donc de se voir plus impacté qu’un utilisateur aux droits limités. L’attaquant sera alors en mesure d’installer ce que bon lui semble sur la machine, d’en prendre le contrôle à distance et de récupérer toutes les données qui y sont stockées à loisir, voire de s’enfoncer dans le reste du réseau de l’entreprise.
De IE7 à IE11, le bug de sécurité touche toutes les versions encore supportées (IE6 en est exclu) du navigateur historique de Microsoft. Son successeur Edge, exclusif à Windows 10, est visiblement épargné par le risque du jour. Mais si la faille d’IE est considérée comme critique pour les versions desktop de Windows Vista/7/10 et même RT (l’environnement dédié aux tablettes Surface sous architecture ARM), Microsoft la classe comme modérée pour les versions Server 2008, 2008 R2, 2012, 2012 R2. Windows Server 2003 n’étant plus supportée par Redmond depuis le 14 juillet, aucune référence n’y est faite. Mais il est très probable que la vulnérabilité y soit aussi présente.
Sur les environnements serveur, les paramètres d’IE sont préconfigurés par défaut pour limiter les surfaces d’attaque par exécution de code. D’où le classement modéré de la faille IE sur ces plates-formes par l’éditeur. Néanmoins, si les paramètres du navigateur ont été modifiés manuellement depuis la mise en route du serveur, il est possible que la vulnérabilité remonte au niveau critique. L’application du correctif est donc plus que recommandée, que ce soit automatiquement (par le service Windows Update généralement activé par défaut sur les postes utilisateurs) ou manuellement en téléchargeant le correctif adéquat (depuis cette page).
Lire également
Microsoft soigne la sécurité de son navigateur web Internet Explorer
Windows 10 : déjà la troisième mise à jour
Pourquoi Windows Server 2003 menace la sécurité du Web
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…