Solutions

Six failles corrigées pour Internet Explorer.

Par Jerome Saiz, le 21 nov 2002 à 17:00:00.

Outre toutes les failles connues à ce jour, la dernière mise à jour cumulative d'Internet Explorer corrige une série de six nouvelles vulnérabilités. L'une d'elles autorise l'exécution de commandes sur le PC de la victime, et les autres permettent un espionnage en règle de ses habitudes, ses cookies ou n'importe quel fichier sur son disque.

Utilisateurs d'Internet Explorer, a vos correctifs ! Ce dernier "patch" cumulatif corrige six failles inédites, en plus de toutes celles déjà prises en charge par les correctifs précédents. Il est destiné aux versions 5.01, 5.5 et 6.0 du navigateur.
La première vulnérabilité résulte d'un manque de vigilance face à "plusieurs techniques de programmation" qu'un pirate pourrait employer sur son site web. Microsoft n'est pas très loquace quant à la source de cette vulnérabilité, mais en détaille suffisamment les conséquences : elle permet non seulement au pirate de lire n'importe quel document sur le disque dur de sa victime, mais aussi d'exécuter n'importe quel programme qui s'y trouverait. On imagine que format c: viendrait à l'esprit de bien des farceurs...
Les autres failles touchent différents sous-systèmes d'Internet Explorer, de la validation des URL à la gestion des balises OBJECT en passant par la prise en charge des images au format PNG. Elles permettent au pirate d'arrêter le navigateur à distance, de lire les cookies de l'internaute, d'ouvrir des documents sur son disque, ou même d'espionner sa session sur un autre site.
Pour mettre en oeuvre cette dernière attaque, le pirate doit toutefois amener l'internaute sur son site, et le pousser à cliquer sur un lien qui pointerait vers un autre site. Il serait alors capable d'observer toutes les informations échangées entre sa victime et le nouveau site. Dans le cas d'un webmail par exemple, cela veut dire ses mots de passe ou le contenu de ses courriers.

Plus d'information

L'alerte en détail sur le site de Microsoft.
Télécharger directement le correctif.

Faille critique non corrigée pour Internet Explorer. (31 août 2004)
Nouvelle faille critique pour Internet Explorer. (22 fév 2002)
Une (autre) faille critique pour Internet Explorer. (01 avril 2002)
Faille Spécial Phishing pour Internet Explorer (08 avril 2006)
Une nouvelle faille critique pour Internet Explorer. (03 nov 2004)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres