Vulnérabilité commune à Internet Explorer et MSN Messenger

Infos-du-Net.comAlors que la nouvelle version du célèbre navigateur propriétaire du géant de Redmond se fait de plus en plus attendre, celui-ci croule sous les failles de sécurité et différentes vulnérabilités.

Cette fois, c'est une vulnérabilité commune à Internet Explorer et au client MSN de la société que nous avons à faire.
Le site SécurityFocus a publié Samedi un rapport sur cette vulnérabilité.
les versions 5.x et 6.x d'Internet explorer sont touchées, ainsi que les versions 7.x et 6.x de MSN messenger.

Selon les experts, la faille, de type buffer overflow, se situe au niveau de la gestion des profils ICC (International Colour Consortium) dans des images de type jpeg, tiff, etc...
Un profil ICC sert à gérer les couleurs d'un fichier numérique par rapport à celles qui seront utilisées par le périphérique (comme un écran ou un appareil photo numérique).
Elle permettrait, une fois exploitée, de faire planter le programme qui l'a lancée, ou encore l'exécution de code sur la machine cible et, à terme, la prise de contrôle de celle-ci.

"Si MSN Messenger ou Internet Explorer ouvre une image pouvant permettre ce genre d'attaque, il serait au minimum possible de les faire planter. L'image aurait alors été conçue pour arriver à cet effet.", ajoute le porte-parole d'une société spécialisée dans la sécurité informatique et le hacking.

Les experts n'excluent également pas la possibilité de l'utilisation de la faille par un ver, qui se répandrait ensuite via la machine infectée, en tenant compte de la possibilité de l'éxecution de code que donne la faille, même si ceci n'a pas encore été réalisée et qu'il n'existe pas encore réellement de "proof of concept" ("preuve que ça existe", consiste à exploiter la faille pour montrer sa présence et son importance).

Le patch corrigeant cette vulnérabilité est maintenant attendu, surtout que Microsoft a déjà sorti une rustine en Octobre dernier pour corriger une faille du même type dans Internet Explorer et d'autres programme.
Le risque engendré par la faille était à l'époque jugé "très haut" par les experts.

Voir le rapport de SecurityFocus

Source : ZDNet UK
Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
13 commentaires
    Votre commentaire
  • Bebeoix
    Que dire à par vivement le patch :-o
    0
  • Matt2000
    que dire à part utilisez Firefox et un client IRC ou autre :-P
    0
  • makina-galaxy@IDN
    Ouais parce qu'au moins quand il y a un gros problème, il est rapidement résolu sous firefox...
    0