Secuser.comUn nouveau défaut de sécurité a été identifié dans le navigateur Internet Explorer de Microsoft. L'exploitation d'une erreur dans la gestion des feuilles de style (.CSS) peut permettre à un individu malveillant ou à un virus d'exécuter à distance du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page web piégée.
LOGICIEL(S) CONCERNE(S) :RISQUE :
- Microsoft Internet Explorer 8.0
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0CORRECTIF :
- Critique
- Aucun correctif n'est disponible pour le moment, car ce défaut de sécurité a été découvert alors qu'il était déjà exploité de façon malveillante (0-day). En attendant la publication d'un correctif officiel, les utilisateurs concernés peuvent appliquer les mesures suivantes afin de réduire les risques d'exploitation malveillante :
* se montrer particulièrement vigilant dans son utilisation d'Internet, notamment vis-à-vis des fichiers douteux, des liens hypertextes non sollicités ou des sites web non reconnus comme sûrs ;
* tenir à jour son antivirus. Les éditeurs ont déjà ou vont bientôt publier de nouvelles signatures pour tenter de reconnaître et d'intercepter les fichiers malicieux exploitant cette faille ;
* installer la version 8.0 d'Internet Explorer via WindowsUpdate (pour les utilisateurs qui ne l'auraient pas déjà fait) ou activer la fonction DEP (Data Execution Prevention) dans Internet Explorer 7.0 (voir cette page). Cette fonction DEP, activée par défaut dans Internet Explorer 8.0, limite l'exécution des codes malicieux ;
* configurer son logiciel de messagerie pour afficher les messages au format texte plutôt que HTML (menu Outils > Options > onglet Lecture > cocher "Lire tous les messages en texte clair" dans Outlook Express ou Outils > Options > onglet Préférences > bouton Options de la messagerie > cocher "Lire tous les messages standard au format texte brut" dans Outlook) et utiliser les paramètres de sécurité les plus élevés (menu Outils > Options > onglet Sécurité > sélectionner "Zone sites sensibles" dans Outlook Express ou Outlook) ;
* définir une feuille de style personnalisée dans Internet Explorer afin d'outrepasser la feuille de style définie par les sites web visités, susceptible de contenir du code malicieux exploitant cette faille (voir l'alerte Microsoft, section "Workarounds" - "Override the Web site CSS style with a user defined CSS") ;
* utiliser un autre navigateur tel que Firefox, Opera ou Chrome en attendant la disponibilité d'un correctif.
@+