Un exploit 0 day vise Internet Explorer

La faille critique touchant Internet Explorer et découverte il y a quelques jours (voir notre article) pourrait avoir des conséquences désastreuses. Un bout de code encore inconnu et récemment publié sur la toile permet l’exploitation à distance de cette vulnérabilité affectant le navigateur de Microsoft. Des millions d’utilisateurs seraient exposés à cette faille pour laquelle aucune rustine n’existe à l’heure actuelle.

Un porte-parole de Microsoft a confirmé que les utilisateurs de Windows 2000 SP4 et de Microsoft XP SP2 étaient effectivement touchés par cette nouvelle vulnérabilité. Les utilisateurs de Windows Server 2003 et Windows Server 2003 SP1, dans leur configuration par défaut avec l’option de sécurité avancée active, ne sont pas vulnérables. L’auteur de cet exploit qui pourrait causer des ravages est un groupe de pirates anglais au nom évocateur de « Computer Terrorism ». L’exploitation de la faille permettrait d’exécuter du code arbitraire à distance sans aucune interaction avec l’utilisateur du navigateur Microsoft. Le problème est localisé dans l’initialisation de la fonction Javascript Window() lors de son utilisation conjointe avec l’événement body onload. Johannes Ullrich, CTO SANS ISC commente cette faille et insiste, sur le fait qu’il suffit de naviguer sur un site internet piégé avec un navigateur vulnérable pour se faire avoir… Il est conseillé aux utilisateurs de Microsoft Internet Explorer de désactiver l’option « Active Scripting ». D’autres préconisent d’abandonner IE au profit de navigateurs alternatifs comme browsers comme Firefox ou Opera. Olivier Devaux pour Vulnerabilite.com.

Pour en savoir plus

L’alerte Microsoft Les versions impactées CVE référence: CAN-2005-1790 Bulletin US-CERT