Nous vous avertissions mardi d’une faille de type 0-day dans Internet Explorer 7, 8 et 9 sous Windows XP, Vista et 7. Épargnant la version 10 du navigateur, et donc Windows 8, elle pouvait être exploitée pour installer automatiquement un malware, Poison Ivy. Nul besoin finalement d’attendre le prochain « patch Tuesday » puisque le correctif est désormais disponible.
Dans un billet sur son blog de sécurité Security Response Center, Microsoft indique avoir pris connaissance plus tôt dans la semaine d’une faille touchant un nombre « restreint d’utilisateurs », tout en indiquant qu’un plus grand « potentiel » d’impact était bien présent.
De fait, le correctif arrive via deux formes différentes. Ceux qui souhaitent corriger la faille aussi vite que possible (et nous les encourageons à le faire) pourront récupérer le sparadrap numérique depuis le site de Microsoft. Il s’agit d’une solution de type « Fix It », à savoir un package guidant l’utilisateur dans les étapes. Bien que les étapes soient en anglais, la solution s’applique à toutes les langues. Attention cependant : Internet Explorer doit être à jour avant d’appliquer le patch, et seule la version 32 bits du navigateur est touchée.
À partir de demain, Microsoft publiera le correctif directement dans Windows Update. Tout système basé sur Windows XP SP2, Vista SP2 ou Windows 7 recevra donc automatiquement la mise à jour… si le système est configuré de cette manière (comportement par défaut). Microsoft précise que le correctif de demain bouchera également quatre autres trous considérés comme critiques.
Notez que le l'Office fédéral allemand de la sécurité des technologies de l'information (BSI) avait émis un bulletin conseillant aux utilisateurs d'utiliser un navigateur alternatif. Le CERTA français, de son côté, recommandait dans un premier temps d'utiliser l'EMET (en fait la recommandation de Microsoft) puis avait mis à jour son alerte hier pour se ranger du côté du BSI. Puisque le correctif est disponible, tout rentre dans l'ordre néanmoins, même s'il reste à ces deux institutions à en répercuter la disponibilité.
Commentaires (28)
#1
Microsoft précise que le correctif de demain bouchera également quatre autres trous considérés comme critiques.
Les failles chez MS, c’est comme les shampoings, 3 en 1. " />
#2
#3
" />" />
#4
La HADOPI avait raison, il a vraiment beaucoup trop de problèmes de sécurité avec le libre " />
D’ailleurs, toujours pas de synthèse sur le fameux workshop " />
#5
2 jours seulement… ça change chez microsoft " />
#6
En attendant la correction des failles, utilisez Firefox " />
#7
‘dredi?
#8
#9
#10
#11
#12
Pas mal du tout!
MS n’a jamais été aussi rapide a corriger une faille.
C’est même impressionnant compte tenu de la quantité de tests que chaque maj doit subir.
Et maintnenant une petite news sur le Pwn2Own mobile pendant lequel l’iphone a été hacké grâce a un 0day dans webkit?
(sans oublier la faille 0day d’élévation de privilège dans android 4).
Quelque chose me dit qu’il va falloir plus de 4j pour corriger tout ca…
#13
#14
#15
On pourrait avoir plus de précision sur l’EMET ? J’avais cru comprendre qu’il permettait une meilleur sécurisation de n’importe quel logiciel … Comment et est ce dispo sur win 8 ?
Il serait peut être temps aussi que firefox utilise une sandbox (celle de win8 a même l’air plus sécurisé que celle de vista/7) comme chrome et IE meme si ce genre de news nous prouve que la sandbox ne résout pas tout …
#16
Je voudrais faire installer en masse un keylogger que je ne m’y prendrais pas autrement.
#17
J’aime bien le CLUF pour le correctif " />
Tu utilises un produit, il a un problème, mais tu dois accepter des engagements et valider une procédure pour pouvoir le rétablir dans son état initial " />
#18
M’en fou j’utilise la version 64bits d’ie ^^ " />
D’ailleurs si elle était activé d’office sur les machine 64bits ça serait pas du luxe !!
#19
#20
#21
#22
#23
#24
#25
#26
#27
#28