Vidéo: Zero-Day: Internet Explorer 11 Sandbox Bypass (Novembre 2024)
Plus tôt cette semaine, Microsoft a émis un important avertissement de sécurité aux utilisateurs de son navigateur Internet Explorer populaire. "Microsoft enquête sur les rapports publics d'une vulnérabilité dans toutes les versions prises en charge d'Internet Explorer", a écrit mardi le géant du logiciel. "Microsoft a connaissance d'attaques ciblées qui tentent d'exploiter cette vulnérabilité dans Internet Explorer 8 et Internet Explorer 9."
Ce qu'il fait
En utilisant cette vulnérabilité, un attaquant pourrait utiliser un site web spécialement conçu pour exécuter à distance du code disposant des mêmes droits que la victime, à son insu. Il suffit à la victime de cliquer sur un lien malveillant.
"La vulnérabilité existe dans la manière dont Internet Explorer accède à un objet en mémoire qui a été supprimé ou qui n'a pas été correctement alloué", a écrit Microsoft. "Cette vulnérabilité pourrait corrompre la mémoire de manière à permettre à un attaquant d'exécuter du code arbitraire dans le contexte de l'utilisateur actuel dans Internet Explorer." Selon le même avis de sécurité, les sites Web hébergeant du contenu ou de la publicité créé par les utilisateurs pourraient également être utilisés pour accroître la vulnérabilité.
Cela pourrait devenir pire
Même si Microsoft dirige les utilisateurs vers un correctif, les attaquants pourraient tout de même utiliser cet exploit. "Les auteurs de kits d’exploitation ont activement recours au désossage des correctifs Microsoft", a déclaré Patrick Thomas, consultant en sécurité chez Neohapsis. "Ainsi, bien que cet exploit ait été initialement limité à un petit groupe de cibles, il sera probablement inclus dans divers kits d'exploitation commerciaux et largement utilisé dans les 1 à 5 prochaines semaines."
Bien que les attaques incontrôlées semblent limitées, l'exploit en est un grand. Websense a signalé que 70% des utilisateurs professionnels sont vulnérables. "Il s'agit d'un correctif d'une très grande portée qui concerne toutes les versions d'IE sur tous les systèmes d'exploitation, de XP à RT", a écrit Paul Henry, analyste de la sécurité chez Lumension.
Que pouvez-vous faire
Microsoft écrit que la société étudie actuellement le problème et décidera de publier une mise à jour système en fin de cycle ou d'attendre simplement la prochaine publication de sécurité planifiée, à savoir le 8 octobre. Entre-temps, a publié une solution FixIT.
La société suggère que les personnes touchées (lire: à peu près tout le monde) tiennent compte de plusieurs facteurs atténuants et solutions de rechange. Le plus simple, et donc probablement le plus important pour les utilisateurs moyens, est de ne pas utiliser un compte doté de privilèges d'administrateur pour le travail quotidien.
Microsoft a également noté que les attaquants n’avaient aucun moyen de "forcer" une victime à visiter un site malveillant. Au lieu de cela, il semble que les victimes seront probablement attirées par les messages de phishing. Comme toujours, les règles paranoïaques s'appliquent: ne cliquez pas sur des liens inhabituels ou inattendus, même ceux de personnes de confiance.
