Vidéo: Comment corriger les bugs de mise a jour Windows 7 ( 32/64 bit ) (Novembre 2024)
Microsoft a déployé une mise à jour pour Internet Explorer afin de fermer la vulnérabilité de jour zéro déjà utilisée récemment dans plusieurs attaques ciblées.
La mise à jour hors bande de Microsoft corrige la faille critique des versions 6, 7 et 8 d'Internet Explorer, a annoncé la société dans son avis de sécurité. La société avait précédemment publié un correctif pour résoudre le problème temporairement. Les utilisateurs qui ont installé le Fix-It n'ont pas besoin de le désinstaller avant d'appliquer le correctif, a déclaré Microsoft.
"La majorité des clients ont activé les mises à jour automatiques et n'auront aucune action à prendre, car les protections seront automatiquement téléchargées et installées", a déclaré Microsoft dans l'avis. Les utilisateurs qui mettent à jour IE manuellement sont vivement encouragés à appliquer la mise à jour le plus rapidement possible.
Il est important de noter que Microsoft a publié un correctif et non une mise à jour cumulative, a déclaré Wolfgang Kandek, CTO de Qualys. Les utilisateurs doivent d’abord s’assurer que leur version d’Internet Explorer est à jour (et que MS12-077) est installée avant d’appliquer le correctif (MS13-008), a déclaré Kandek.
Patch hors bande
Ce correctif arrive une semaine après la publication mensuelle prévue du correctif mardi de Microsoft. De nombreux experts en sécurité s'étaient demandé si cela signifiait que l'entreprise envisageait d'attendre le mois de février pour résoudre le problème.
"Je ne serais pas du tout surpris de voir un autre bulletin IE en février en plus du correctif d'aujourd'hui", a déclaré Andrew Storms, directeur des opérations de sécurité de nCircle. Les correctifs de navigateur réguliers sont une bonne chose car les attaquants s’attaquent de plus en plus aux navigateurs Web, a déclaré Storms.
Des chercheurs de FireEye ont découvert en décembre que le site Web du Council on Foreign Relations avait été compromis et infectait les visiteurs utilisant d'anciennes versions d'Internet Explorer en exploitant cette vulnérabilité. Une fois la faille zéro jour identifiée, d'autres chercheurs ont mis au jour des attaques similaires sur d'autres sites, notamment le fabricant de systèmes de microturbine Capstone Turbine et deux sites chinois de défense des droits de l'homme. Microsoft a publié un correctif temporaire, mais les chercheurs d'Exodus Intelligence ont pu contourner le Fix-It et déclencher la faille de sécurité.
Bien que la société ait travaillé assez rapidement pour publier ce correctif, il existe toujours une "forte probabilité" que de nombreux utilisateurs n'aient pas pris les mesures nécessaires, et une grande partie des utilisateurs d'IE ne sera pas protégée, a déclaré Mark Elliott, vice-président exécutif des produits chez Quarri Technologies, a déclaré à SecurityWatch . Cela met en évidence le fait que les entreprises sont souvent "à la merci des utilisateurs finaux compétents en tant qu'administrateur de sécurité", a déclaré Elliott.
Les utilisateurs sont également invités à effectuer une mise à niveau vers Internet Explorer 9 ou 10. Le problème concerne principalement les utilisateurs qui exécutent encore Windows XP, qui ne peuvent pas exécuter les versions les plus récentes de IE.
"Puisque ces correctifs corrigent des vulnérabilités exploitées à l’état sauvage, il est essentiel que les correctifs soient déployés le plus rapidement possible", a déclaré Marc Maiffret, CTO de BeyondTrust, à SecurityWatch .
Pour en savoir plus sur Fahmida, suivez-la sur Twitter @zdFYRashid.
