Vulnérabilités
Internet Explorer digère mal Java et les images libres.
Par Jerome Saiz, le 13 déc 2002 à 18:45:00.
Avec deux alertes critiques en une semaine, Internet Explorer et Windows terminent mal l'année. La première de ces vulnérabilités était connue depuis le mois dernier, mais avait été minimisée par Microsoft. Sous la pression de spécialistes, l'éditeur est aujourd'hui forcé de reconnaître que le problème est plus sérieux que prévu. La seconde alerte (une série de huit failles) est vraiment nouvelle. Et les deux sont graves.
La première faille à frapper Internet Explorer cette semaine n'est pas vraiment une nouveauté. Il s'agit de la faiblesse d'une librairie chargée de la lecture des images au format libre PNG. Connue depuis la fin du mois de novembre dernier, elle n'avait toutefois pas affolé Microsoft, qui l'avait simplement mentionné dans une alerte commune à un lot de six failles (voir notre brève).
Mais voilà, Microsoft semble ne pas vraiment avoir fait ses devoirs. Car la faille se trouve être bien plus grave que prévu, comme l'a démontré la société eEye Digital Security. Elle permettrait à un pirate de prendre le contrôle du PC lors de l'affichage d'une simple image PNG piégée. Contraint de reconnaître son erreur, Microsoft a mis à jour son bulletin d'alerte et à déclaré cette faille comme "critique". Pour les curieux et les poètes, l'alerte de eEye détaille la faille à travers les vers d'un poème amusant (en anglais), et offre la liste (impressionnante) de tous les produits de Microsoft qui intègrent le fichier DLL vulnérable.
La seconde rafale de failles, elle, est inédite. Elle frappe la machine virtuelle Java (JVM) d'Internet Explorer et Windows. Il ne s'agit pas moins de huit vulnérabilités découvertes dans la JVM de Microsoft. La plus critique d'entre elles permet à un pirate de prendre le contrôle du PC de sa victime via une applet Java piégée.
Bien sûr, des correctifs pour toutes ces failles sont désormais disponibles.
En attendant les prochaines.
Plus d'information
- L'alerte de eEye Digital Security au sujet de la faille PNG.
- L'alerte de Microsoft pour la même faille.
- L'alerte de Microsoft au sujet des failles de la machine virtuelle Java.
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office Acesss
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
