Microsoft sort un « Fix it » pour colmater la faille Zero-Day dans IE8
Un correctif complet en cours de test
Le 2013-05-10 09:17:18, par Cedric Chevalier, Expert éminent sénior
Après la découverte d’une faille Zero-Day dans IE 8, qui a conduit à l'installation du cheval de Troie Poison Ivy sur de nombreux périphériques, la réponse de Microsoft ne s'est pas faite attendre.
Pour rappel, la vulnérabilité est décrite comme un problème dans la façon dont laquelle IE 8 accède à un objet en mémoire qui a été supprimé, ou n'a pas été correctement alloué. Les versions d'IE 6, 7, 9 et 10 ne sont pas affectées.
Pour remédier au problème, la firme de Redmond vient de publier une solution temporaire "Fix It". Elle provoque de petits changements du fichier mshtml.dll chargé en mémoire par IE 8.
En réponse au Framework populaire de tests de faille Metasploit, qui implémente un exploit pour cette faille, Microsoft recommande l'utilisation d'EMET. À titre de rappel, Emet est un utilitaire de sécurité téléchargeable depuis le site de la société, ajoutant une couche supplémentaire de sécurité grâce à des technologies propriétaires de réduction de risque intégrées, rendant l'exploitation des vulnérabilités logicielles difficile.
Par ailleurs, un correctif de sécurité complet pour cette faille est en phase de test dans les laboratoires de Microsoft. Sans pour autant donner de date officielle, Microsoft recommande de visiter régulièrement son blog ou le service de notification avancé pour être au courant de sa sortie.
Source: Blog Microsoft
Et vous?
Pour rappel, la vulnérabilité est décrite comme un problème dans la façon dont laquelle IE 8 accède à un objet en mémoire qui a été supprimé, ou n'a pas été correctement alloué. Les versions d'IE 6, 7, 9 et 10 ne sont pas affectées.
Pour remédier au problème, la firme de Redmond vient de publier une solution temporaire "Fix It". Elle provoque de petits changements du fichier mshtml.dll chargé en mémoire par IE 8.
En réponse au Framework populaire de tests de faille Metasploit, qui implémente un exploit pour cette faille, Microsoft recommande l'utilisation d'EMET. À titre de rappel, Emet est un utilitaire de sécurité téléchargeable depuis le site de la société, ajoutant une couche supplémentaire de sécurité grâce à des technologies propriétaires de réduction de risque intégrées, rendant l'exploitation des vulnérabilités logicielles difficile.
Par ailleurs, un correctif de sécurité complet pour cette faille est en phase de test dans les laboratoires de Microsoft. Sans pour autant donner de date officielle, Microsoft recommande de visiter régulièrement son blog ou le service de notification avancé pour être au courant de sa sortie.
Source: Blog Microsoft
Et vous?