Les failles de sécurité ouvrent la porte aux cyber criminels
Microsoft alerte d’une nouvelle vulnérabilité qui frappe Internet Explorer, toutes versions confondue vraisemblablement. Selon Redmond, une faille liée à VBscript autorise l’exécution de code distant et, donc, le risque de prise de contrôle de la machine affecté. La vulnérabilité en question ne concerne que les environnements Windows 2000 SP4, XP (SP2 et 3 et version 64 bits) et Server 2003. Microsoft confirme que Windows Vista (SP1 et 2), 7 (32 et 64 bits) et Server 2008 R2 (toutes plates-formes confondues) ne sont pas affectés par le bug.
« La vulnérabilité apparaît dans la façon dont VBScript interagit avec les fichiers d’aide de Windows lorsqu’il utilise Internet Explorer, explique l’éditeur dans son alerte. Si un site malintentionné affiche une boîte de dialogue spécialement conçue et qu’un utilisateur appuie sur la touche F1, du code arbitraire pourrait être exécuté dans le contexte de configuration de la sécurité de l’utilisateur connecté à ce moment. » Autrement dit, pour être exploitée, la vulnérabilité nécessite un ensemble de paramètres qui devrait en limiter la propagation. Microsoft précise d’ailleurs n’avoir constaté aucune attaque sur cette faille en question.
Il n’en reste pas moins une faille actuellement exploitable et non corrigée. Soit une vulnérabilité dite « zero day » sur laquelle Microsoft déclare travailler à résoudre avec ses partenaires. Il en résultera un correctif livré lors d’un prochain bulletin mensuel de sécurité (le fameux « patch tuesday ») ou bien dans le cadre d’une mise à jour immédiate selon l’urgence.
D’ici là, à moins de migrer vers un OS non affecté par la brèche de sécurité, Microsoft propose de désactiver l’Active Scripting du navigateur en sélectionnant le plus haut niveau de sécurité proposé dans Internet Explorer. Un pis aller qui présente l’inconvénient d’interdire l’accès aux fonctionnalités de certaines pages web…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…