Windows : vulnérabilité critique dans le protocole MHTML

Microsoft publie une parade et le correctif devrait suivre

Microsoft met en garde les utilisateurs de Windows sur une nouvelle faille de sécurité qui vient d'être découverte. Elle touche touche le gestionnaire de protocole MHTML, et pourrait permettre à un pirate d’utiliser un lien pointant sur un script malveillant pour dérober des informations sensibles ou effectuer d’autres actions non autorisées par l’utilisateur.

Selon l’avis de sécurité publié par Microsoft, une preuve de faisabilité (PoC) a déjà été dévoilée. Cependant jusqu’ici cette vulnérabilité n’a pas encore été exploitée.

Il n'existe pas encore de correctif pour cette faille, mais Microsoft prend la situation très au sérieux et a d’ores et déjà publié une parade qui s'appuie sur le verrouillage et à la désactivation du protocole MHTML.

Le nouvel outil Microsoft Fix It vient d’être publié. Il permet d'automatiser le verrouillage des protocoles incriminés, une solution qui présente cependant un léger inconvénient lors de l’exécution de scripts ActiveX au sein de documents MHT.

Les versions concernées de Windows sont XP, Vista, 7, Server 2003 et Server 2008 R2. Toutes les versions d’Internet Explorer peuvent être utilisées comme vecteur d’attaque.

Les travaux sont en cours par l’équipe de sécurité de Microsoft et par ses partenaires pour réaliser un correctif au plus vite.

L’outil Microsoft Fix it est disponible sur cette page

Source : L’avis de sécurité de Microsoft