Une faille de sécurité d'Internet Explorer se déclenche via la touche F1
Sur les anciennes versions de Windows

Le , par Djug, Expert éminent sénior
Mise à jour du 30/03/10 (Djug)
Microsoft publiera cette après midi une mise à jour urgente pour internet explorer, qui corrigera plusieurs failles de sécurité.

Microsoft a annoncé hier la mise en ligne cette après midi d’une mise à jour urgente pour les versions 6 et 7 d’internet explorer.



Ce patch proposé hors cycle du patch Tuesday (un ensemble de correctifs diffusés le deuxième mardi de chaque mois), consiste à corriger des failles qui concernent toutes les versions d’internet Explorer y compris IE8, et sur tous les systèmes d’exploitation y compris Windows 7 et Windows server 2008 R2.

Microsoft n’a pas donner les détailles de ces failles de sécurité qui sont qualifiées de critique, et précise que ce patch concernera en particulier une faille dans les versions 6 et 7 d’internet d’explorer, mais il contient également des correctifs pour 9 autres failles qui affectent également la version 8 du navigateur.

qu'en pensez-vous?


Source :


Microsoft Security Bulletin Advance Notification for March 2010
Internet Explorer Cumulative Update Releasing Out-of-Band
Microsoft Security Bulletin Advance Notification for March 2010

voir aussi:
la rubrique sécurité

Une faille de sécurité d’internet explorer qui se déclenche via la touche F1
sur les anciennes versions de windows.

Microsoft vient de confirmer sur un bulletin d'alerte l’existence d’une faille de sécurité au niveau d’internet explorer (toutes versions confondues) utilisé sur les anciennes versions de ses systèmes d’exploitation, et qui concerne le moteur VBScript et les fichiers Windows Help.



Cette faille de sécurité ne concerne que les systèmes Windows XP, Windows 2000 et Windows server 2003.

Selon Maurycy Prodeus le chercheur qui a découvert cette vulnérabilité, cette faille peut être utilisée en invitant les internautes à un site conçu spécialement pour l’exploiter, et de les inviter à presser la touche F1, ce qui permettra d’exécuter un code arbitraire sur la machine de la victime.

Microsoft n’a pas encore publié de correctifs pour cette faille, mais en attendant le prochaine « Patch Tuesday» prévu le 9 mars prochain et qui peut contenir un correctif pour cette faille, David Ross propose sur le blog sécurité de microsoft deux solutions temporaires :

- Ne jamais presser la touche F1 si un site internet le demande.

- Ou utiliser la commande suivante :

Code : Sélectionner tout
cacls "%windir%\winhlp32.exe" /E /P everyone:N
Pour désactiver l'aide de Windows

Qu’en pensez-vous ?

Source :

Le bulletin d'alerte de microsoft

Le blog de sécurité de microsoft

Voir aussi :

Black Hat : Une faille dans IE transforme tout PC en un serveur public

La rubrique sécurité


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de zul zul - Membre confirmé http://www.developpez.com
le 03/03/2010 à 12:40
On peut supposer justement que l'appel à F1 lance l'éxecution d'un processus (lié à la gestion de l'aide en général) interprétant des données venant de la page courante. Celle-ci est contrôlée entièrement par l'attaquant, il peut, si justement il y a un bug dans ce processus, éxecuter ce qu'il veut.

Sinon, j'aime beaucoup le "ne concerne que XP, 2K, 2K3". C'est un peu ne concerne que 70% des systèmes (si l'on en croit les statistiques présentés dans un autre thread). Allez n'ayons pas peur, ça fera que "quelques" botnets en plus .

Autre solution : -> arrêter d'utiliser IE ?
Avatar de superness64 superness64 - Membre à l'essai http://www.developpez.com
le 03/03/2010 à 13:23
Vous n'avez pas tout compris, c'est une nouvelle méthode pour faire de son PC un serveur de fichier en un Clique, euh... plutôt en une touche !!!!
Avatar de yoyo88 yoyo88 - Membre expérimenté http://www.developpez.com
le 03/03/2010 à 13:24
Pour la faille, c'est pas bien grave, puisque même certains ici sur le forum ignorent l'existence de la touche F1
Avatar de mrjay42 mrjay42 - Membre habitué http://www.developpez.com
le 03/03/2010 à 13:30
Pour revenir sur la partie "technique" de cette info :
Ce qui m'étonne, c'est que l'aide que l'on obtient en appuyant sur F1, dans IE est une aide locale : elle fait appel à un .chm (probablement binarisé, quoique...) se trouvant sur la machine cliente.
Du coup, c'est pour cela que je ne comprends pas en quoi et comment l'utilisation de F1 peut permettre une attaque...
Avatar de valkirys valkirys - Membre expérimenté http://www.developpez.com
le 03/03/2010 à 15:14
Citation Envoyé par Djug
Qu’en pensez-vous ?

A faire une bonne blague aux utilisateurs d'IE6 en forçant l'installation d'IE7
Avatar de ILP ILP - Membre averti http://www.developpez.com
le 03/03/2010 à 15:32
Citation Envoyé par Djug  Voir le message
Cette faille de sécurité ne concerne que les systèmes Windows XP, Windows 2000 et Windows server 2003.

Dans la version de base, oui. Mais si on installe le support des fichier HLP, Vista et Seven deviennent victimes de la faille.
Malheureusement plein de vieux programmes installent WinHlp32.exe pour pouvoir lire leurs fichiers d'aide .
Avatar de pmithrandir pmithrandir - Membre expert http://www.developpez.com
le 03/03/2010 à 17:51
Citation Envoyé par Djug  Voir le message
David Ross propose sur le blog sécurité de microsoft deux solutions temporaires :

- Ne jamais presser la touche F1 si un site internet le demande.

- Ou utiliser la commande suivante :

Code : Sélectionner tout
cacls "%windir%\winhlp32.exe" /E /P everyone:N
Pour désactiver l'aide de Windows

Ils ne sont pas capable de faire un correctif d'urgence pour désactiver l'aide temporairement ?
Ça me parait la base, surtout que ça doit pas peser lourd comme modification en ko et que du même coup tous ceux qui leur font confiance restent en sécurité...(maj auto de windows update)
Avatar de smyley smyley - Expert éminent http://www.developpez.com
le 03/03/2010 à 23:30
Citation Envoyé par pmithrandir  Voir le message
Ils sont pas foutu de faire un correctif d'urgence pour désactiver l'aide temporairement ?

Il faut croire que c'est à la mode de laisser les utilisateurs faire le boulot ... un peu comme avec Adobe
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 04/03/2010 à 10:13
Citation Envoyé par pmithrandir  Voir le message
Ils sont pas foutu de faire un correctif d'urgence pour désactiver l'aide temporairement ?
Ca me parait la base, surtout que ca doit pas peser lourd comme modif en ko et que du même coup tous ceux qui leur font confiance reste en sécurité...(maj auto de windows update)

Moi j'aime bien le "n'appuyer pas sur F1", à la prochaine faille de sécurité de Windows ils vont dire de ne plus allumer son ordinateur?
Avatar de Cyrilange Cyrilange - Membre averti http://www.developpez.com
le 31/03/2010 à 16:42
Tu appuies sur la touche F1 pour avoir de l'aide et en retour tu te fais hacker...voilà un paradoxe absolument illarant !

J'adore IE et j'attend avec impatience la version 9.
http://ie.microsoft.com/testdrive/
Avatar de djouk djouk - Membre régulier http://www.developpez.com
le 31/03/2010 à 22:26
Une faille de sécurité d’internet explorer qui se déclenche via la touche F1
Offres d'emploi IT
Développeur full stack H/F
Adequat Tertiaire - Rhône Alpes - Lyon (69000)
Analyste programmeur cobol/pacbase
ELANZ - Ile de France - Essonne
Chef de projet technique junior H/F
Altaide - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil