Outsourcing Contact
31Jan
2011

Microsoft : vulnérabilité 0-day dans Windows via IE


Microsoft émet un avis de sécurité au sujet d'une vulnérabilité à exécution immédiate affectant toutes les versions de Windows. Internet Explorer est le seul vecteur d'attaque connu.

Dans un avis de sécurité, la firme de Redmond prévient qu'une vulnérabilité de script affectant toutes les versions de Windows a fait l'objet d'une divulgation publique. Elle est liée à un problème au niveau du traitement par MHTML de requêtes MIME formatées pour des blocs de contenu dans un document.

MIME Encapsulation of Aggregate HTML est un protocole de page Web qui rassemble les ressources de plusieurs formats en un seul fichier. Du côté des navigateurs, seuls Internet Explorer et Opera le supportent nativement ( via une extension pour Firefox ). Pour le moment, le seul vecteur d'exploitation connu est Internet Explorer.

Microsoft compare l'impact d'une attaque exploitant la vulnérabilité ( qui réside dans un composant Windows ) à celle de vulnérabilités XSS ( cross-site scripting ) côté serveur. Le géant du logiciel explique qu'un attaquant pourrait par exemple construire un lien HTML afin de déclencher un script malveillant qui s'exécute sur l'ordinateur de la victime tout au long de sa session Internet Explorer. Ce script pourrait collecter des informations de l'utilisateur ( e-mail ), usurper du contenu affiché.

En attendant la publication d'un correctif, Microsoft propose une protection radicale avec un Fix it qui désactive tout simplement la prise en charge du protocole MHTML.

Sur le front des menaces 0-day, Intel a récemment annoncé son intention de tout simplement les éliminer grâce à une technologie capable de bloquer les attaques ( voir notre actualité ). Une technologie encore mystérieuse avec notamment un composant matériel. Mais une attaque 0-day ne signifie pas forcément qu'elle est liée à un dépassement de tampon ou une autre action dans la gestion ou l'utilisation de la mémoire, avance Sophos qui se montre déjà très sceptique.


Commentaires

Laisser un commentaire