Lire la suite sur PCInpactMicrosoft vient de publier un nouveau bulletin relatif à une faille découverte dans plusieurs versions de Windows. La fiche d’informations fait suite à plusieurs rapports publics, signifiant que les détails de l’exploitation de la faille sont déjà entre les mains des auteurs de malwares en tous genres.
La vulnérabilité réside dans la manière dont MHTML interprète les requêtes MIME pour des blocs de contenu dans un document, ou plus généralement une page web. Microsoft indique que dans certaines conditions, il est possible que cette faille permette à un utilisateur malveillant d’injecter un script côté client en réponse à une requête Web formée depuis Internet Explorer. Le script peut alors révéler des informations sensibles et effectuer sur la page toutes les actions que pourrait entreprendre l’utilisateur.
MHTML est un format de fichier ouvert et normalisé par l’IETF (Internet Engineering Task Force) et qui permet de créer un fichier HTML contenant tous les éléments externes de cette page, au format MIME. Ce dernier, signifiant Multipurpose Internet Mail Extensions, a été créé pour que puissent transiter par email l’ensemble des données non-textuelles.
Cela signifie donc que le problème réside dans Internet Explorer, et non pas dans les formats de données proprement dits.
Le bulletin Microsoft Security Advisory (2501696): Vulnerability in MHTML Could Allow Information Disclosure
Microsoft suggère essentiellement deux mesures :
* Passer les zones de sécurité Internet et Intranet local à « Élevé » pour les contrôles ActiveX et Active Scripting
* Configurer Internet Explorer pour toujours demander la permission avant d’exécuter un contenu Active Scripting, ou désactiver complètement ce dernier (Menu Outils, Options Internet, onglet sécurité, Internet puis Niveau personnalisé, sous Paramètres, section Scripting, sous Active Scripting, cliquer sur Demander ou Désactiver, même opération pour Intranet local).
Une solution Fix It est également proposée, pour bloquer complètement les adresses de type « mhtml: ». Il ne s'agit pas d'un patch correctif, mais d'un moyen de coupure de la voie d'accès à l'exploitation de la faille. Il reste bien entendu la solution simple d'utiliser un autre navigateur. Prudence en tout cas en attendant la mise à jour correspondante.
Toutes les éditions supportées de Windows sont touchées :
* Windows XP, Service Pack 3 inclus
* Vista, Service Pack 2 inclus, 32 et 64 bits
* Windows 7, 32 et 64 bits
* Windows Server 2003, Service Pack 2 inclus, 32 et 64 bits (x64 et IA64)
* Windows Server 2008, Service Pack 2 inclus, 32 et 64 bits (x64 et IA64)
* Windows Server 2008 R2, 32 et 64 bits (x64 et IA64)
@+
