Internet Explorer : mise à jour critique de sécurité hors du cycle habituel
Leave our memory alone !
Le 19 août 2015 à 13h40
3 min
Logiciel
Logiciel
Microsoft a publié une mise à jour critique pour Internet Explorer. Toutes les versions actuellement supportées du navigateur sont touchées et les utilisateurs sont enjoints à aller chercher le correctif dans Windows Update.
Les mises à jour de sécurité pour Windows sont le plus souvent distribuées le deuxième mardi de chaque mois, dans ce que l’on a coutume d’appeler les Patch Tuesdays. Il arrive cependant qu’en cas de faille majeure et/ou déjà exploitée, le cycle soit cassé et qu’un correctif soit mis à disposition, sans attendre le Patch Tuesday suivant. C’est souvent le signe qu’il ne faut pas attendre pour l'installer, l’éditeur ne bousculant pas ses habitudes sans raison.
Dans le cas présent, il s’agit d’un correctif pour Internet Explorer. Toutes les versions en cours de support sont touchées :
- Internet Explorer 7 : Vista, Windows Server 2008
- Internet Explorer 8 : Vista et Windows 7, Windows Server 2008 et 2008 R2
- Internet Explorer 9 : Vista et Windows 7, Windows Server 2008 et 2008 R2
- Internet Explorer 10 : Windows 7, 8 et RT, Windows Server 2008 R2 et 2012
- Internet Explorer 11 : Windows 7, 8.1, RT 8.1 et 10, Windows Server 2008 R2 et 2012 R2
La version intégrée à Windows 10 est donc touchée, et même si Edge n’est pas concerné, le correctif est tout aussi important. On notera que le bulletin de sécurité mentionne un niveau critique pour l’ensemble des Windows clients, et modéré pour les serveurs. Comme d’habitude, le type de compte joue une grande importance et ceux qui ont des droits classiques (donc non administrateurs) seront moins impactés.
La vulnérabilité elle-même réside dans la manière dont le navigateur accède à certains objets en mémoire. Il peut donc y avoir corruption de cette dernière, permettant à un pirate de faire exécuter un code arbitraire à distance. Deux précisions cependant. D’une part, la faille ne peut pas être exploitée automatiquement et l’attaquant a besoin de conduire l’utilisateur à cliquer sur un lien dans une page spécialement conçue. D’autre part, il n’y a pas d’escalade de privilèges et le code exécuté dispose donc des mêmes droits que le compte actif.
Sachez par ailleurs que la faille a été découverte et documentée par Clement Lecigne de chez Google, remercié par Microsoft pour l'occasion.
La méthode la plus rapide reste de télécharger le correctif dans Windows Update. Ceux qui préfèrent récupérer un exécutable d’installation pourront cependant le faire depuis cette page.
Commentaires (30)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/08/2015 à 13h44
Avec tous ces trous, L’enterrement final sera une trivialité
Le 19/08/2015 à 13h48
IE touché sous XP également ?
Le 19/08/2015 à 13h50
de mémoire c’est ie 8, donc oui
Le 19/08/2015 à 13h53
XP est déja une passoire a l’heure actuelle. (failles persistantes ad eternam).
Que IE sont impacté est sans importance.
XP c’est IE 6 et suivants
Le 20/08/2015 à 07h18
faut désinstaller la màj KB 3035583 puis la masquer dans celles proposées
Le 20/08/2015 à 08h12
Le 20/08/2015 à 08h26
Arf… pas eu besoin d’aller jusque là, mais d’autres pistes :
http://www.dedoimedo.com/computers/windows-7-to-10-gwx-how-to-remove.html
ou alors faire un reset du cache de win update mais je sais plus comment ça se fait
Le 20/08/2015 à 08h30
HS avec la news mais d’autres ce sont vu proposer une mise à jour de Silverlight ces derniers jours ?
Je pensais que plus rien ne serai proposé.
Le 20/08/2015 à 08h42
Suffit d’arrêter le service Windows Update et renommer le dossier SoftwareDistribution dans C:\Windows
Le 20/08/2015 à 08h46
Le 20/08/2015 à 09h05
AVec la quantité de dab encore sous xp je suis pas vraiment du même avis quand à l’importance d’un tel fait. Après il est vreai qu’ils ont des protection supplémentaire et un accès au web très restreint…normalement.
Le 20/08/2015 à 09h19
ce n’est pas le meme XP, c’est la version embarqué, elle a encore des MAJ normalmeent
Le 20/08/2015 à 09h57
J’explique le problème, j’ai désinstallé la KB qui amène le GWX, mais à chaque fois que je télécharge une mise à jour dans Windows Update s’affiche au dessus de la barre de progression “ Téléchargement de Windows 10 ” alors que ça ne devrait plus être le cas.
Le 20/08/2015 à 11h41
interessant ce tuto, merci bien!
Le 19/08/2015 à 13h57
Le 19/08/2015 à 13h59
Xp c’est de IE6 à IE8 uniquement
Le 19/08/2015 à 14h24
J’ai la news pour IE mais les commentaires de l’article sur les DRM
Le 19/08/2015 à 14h24
Reviendu la normale.
Le 19/08/2015 à 14h31
Le 19/08/2015 à 15h37
ça fait une nouvelle feature premium : le random comment : on écrit sous une news, mais le commentaire est inséré aléatoirement dans l’une des autres du jour
Le 19/08/2015 à 15h54
Le 19/08/2015 à 16h21
Avoue que ça peut rendre le travail de modo un peu plus marrant
" />
Le 19/08/2015 à 18h21
est-ce que cette “découverte” de trous sous IE n’est pas opportune pour inciter les Mme Michu à passer sous Edge ?
Le 19/08/2015 à 18h30
Avant de passer sous Edge, il faut déjà passer sous Windows 10.
Et pour l’instant, malgré les “incitations” de Microsoft, c’est pas gagné…
Le 19/08/2015 à 19h38
Pour le coup j’ai pas compris. Mon 5C semble ne pas aimer Opera… 
" />
Le 19/08/2015 à 20h42
Le 19/08/2015 à 23h29
Le 20/08/2015 à 06h20
Ça m’agace, maintenant quand je fais un Windows Update sous mon W7 ça me met Téléchargement de W10, alors que j’ai désinstallé GWX. 
" />
Le 20/08/2015 à 06h32
J’ai installé un XP hier et j’avais une mai se sécurité de août 2015, peut être qu’elle a été patcher sur XP également car j’avoue avoir été surpris de cette mise a jour.
Le 20/08/2015 à 07h09
Sous Seven, Windows update me demande d’installer d’abord W10 avant de vérifier s’il existe de nouvelles mises à jour.
" />
" />
En fait,