Vulnérabilités
PowerPoint, Internet Explorer : Windows à nouveau dans la tourmente, MacOS touché
Par Jerome Saiz, le 29 sept 2006 à 10:04:00.
A peine Microsoft a-t-il corrigé la dernière vulnérabilité majeure en date que deux nouveaux pièges surgissent : du côté de Powerpoint, c'est une faille zero-day qui serait déjà exploitée pour installer des codes malicieux à l'ouverture d'un document piégé. La version Mac serait également concernée. Pour Internet Explorer, c'est une autre vulnérabilité qui permettrait l'installation de codes malicieux à la visite d'un site web piégé. Toutes deux sont considérées extrêmement critiques.
Pas de répit pour Microsoft ! Après avoir corrigé la faille VML, l'éditeur doit revenir à ses crayons et s'occuper cette fois-ci de PowerPoint et - encore - d'Internet Explorer.
Pour ce qui est du logiciel de présentation, la vulnérabilité concerne la lecture des documents, sans que l'on en sache plus.
Seule certitude : elle frappe sans distinction les versions Windows et Mac, et elle est déjà exploitée par les escrocs.
Et puisqu'une alerte de sécurité concernant Microsoft ne serait pas tout à fait complète sans une faille critique pour Internet Explorer, la voilà : elle concerne - encore - un contrôle ActiveX (
WebViewFolderIcon) et permet - encore - d'installer n'importe quoi sur l'ordinateur à la simple visite d'un site web piégé. Le site Secunia affirme l'avoir testée avec succès sur un système Windows XP SP2, Internet Explorer 6, entièrement à jour de ses correctifs. Cette vulnérabilité est elle aussi exploitée sur Internet et un code de démonstration circule. L'éditeur Trend Micro, notamment, le détecte depuis hier (28 septembre).Pour la petite histoire, il s'agit d'une vulnérabilité découverte en juillet dernier mais elle n'était pas censée être critique à l'époque...
Ces deux vulnérabilités ne sont pas encore corrigées, sont déjà exploitées sur Internet pour compromettre des ordinateurs et sont jugées extrêmement critiques, notamment par Secunia dont c'est le niveau d'alerte le plus élevé.
En attendant les correctifs officiels de Microsoft, il est - encore - conseillé de changer de navigateur (pour ceux qui insisteraient - encore - à faire confiance à Internet Explorer).
Il vaut mieux, enfin, ne pas ouvrir de documents PowerPoint issus de sources inconnues (ou les blagues inutiles !). Si PowerPoint vous est néanmoins indispensable mais que vous n'avez pas à modifier le document, préférez-lui la visionneuse Powerpoint qui ne devrait pas être concernée par la vulnérabilité (notez toutefois le conditionnel, nous ne l'avons pas testée).
Enfin, assurez-vous que votre antivirus est à jour : les éditeurs ne manqueront pas d'ajouter les signatures des divers codes d'exploitation qui pourraient voir le jour.
Plus d'information
- L'alerte PowerPoint sur le site de Microsoft (en anglais)
- L'alerte Internet Explorer sur le site de Microsoft (en anglais)
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office Acesss
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
