Microsoft : une nouvelle faille zero-day qui touche 'presque tous les Windows'

logo internet explorer

Depuis hier, la section sécurité de Microsoft connaît une agitation toute particulière puisqu’une nouvelle faille dite "critique" vient d’être découverte. Effectivement, Secunia et la firme de Redmond sont parfaitement d’accord sur l’existence et sur l’exploitation de cette vulnérabilité qui touche tous les systèmes d’exploitation de Microsoft à l’exception de Windows Server 2003. De plus, cette dernière faille de sécurité s’exploiterait par le biais d’Internet Explorer 6 et/ou 7.

ActiveX au centre du problème

Ladite faille vient, comme souvent, d’un module ActiveX. Pour le coup, c’est le module ActiveX XMLHTTP 4.0, principalement utilisé par le navigateur Web de Microsoft, qui est touché. En temps normal, ce module permet de charger plus rapidement les pages web afin d’accélérer la navigation de l’internaute. Toutefois, les pages Web fallacieuses sont elles aussi concernées par cette dernière fonctionnalité, ce qui serait à l’origine de l’exploitation de cette faille. Ce dernier point a d’ailleurs été confirmé à plusieurs reprises.

Deux ’petites’ solutions pour le moment

Dans l’état actuel des choses, deux méthodes seraient envisageables afin de se protéger de cette faille. La première consisterait à augmenter le niveau global de sécurité (de ’moyen’ à ’élevé’) d’Internet Explorer aussi bien en local que sur le Web ; ou encore de demander un avis de confirmation a chaque fois qu’un contrôle ActiveX est utilisé. La seconde méthode est nettement plus périlleuse puisqu’elle nécessite une manipulation de la base de registre.

Enfin, il ne nous reste qu’à attendre un éventuel correctif, ou la très prochaine sortie du patch Tuesday de novembre.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
4 commentaires
    Votre commentaire
  • H-hich
    Ou ne pas visiter de site a deux balles par exemple :)
    Ou utiliser un navigateur qui ne gere pas l'activeX.
    0
  • MaxGix
    Vista est concerné également ?
    0
  • BrunoP
    Merci ;) C'est corrigé.

    Pour connaître tous les systèmes d'exploitations concernés, consulte le bulletin de Secunia.

    Bruno Prieur
    0