Microsoft a lancé un patch (correctif) qui élimine trois vulnérabilités d’Internet Explorer 4 et 5 qui permettaient à un opérateur de site Web malveillant de lire les fichiers, d’accéder aux cookies (blocs de données qu’un serveur Web stocke sur le système client) et d’exécuter un code sur les ordinateurs des utilisateurs, visités à leur insu.
Ces trois trous de sécurité - qui sont maintenant corrigés - affectaient les versions 4.0, 4.01, 5.0 et 5.01 d’Internet Explorer, l’outil Microsoft pour naviguer sur le Web. Voici quelques précisions concernant ces vulnérabilités :
- La première, « Frame Domain Verification » (Vérification du Cadre du Domaine), permettait à un utilisateur malveillant de lire des fichiers sur l’ordinateur piraté, mais pas de les changer ni d’en ajouter.
- La seconde, « Unauthorized Cookie Access » (Accès Cookie non Autorisé), permettait à un opérateur de site Web malveillant d’accéder aux cookies sauvegardés sur la machine victime. Pour cela, il devait contourner les mesures de sécurité du navigateur en utilisant un URL mal formé à dessein - remplaçant les barres obliques (/) par le code %2f et les points d’interrogation (?) par %3f. Ceci amenait le navigateur à croire que le site de l’attaquant appartenait au même domaine que le cookie, et il lui permettait d’être lu.
- La troisième, « Malformed Component Attribute » (Attribut de Composant mal Formé) permettait à un attaquant d’exécuter le code de son choix sur l’ordinateur de sa victime. Ceci était fait sur un composant Active X, par le biais d’une surcharge de la mémoire tampon, donnant au malfaiteur un contrôle total sur la machine ciblée et sur ses données.
Afin de protéger la confidentialité des utilisateurs et des données qui se trouvent sur leurs Disques durs, et d’empêcher tout accès non autorisé, Oxygen3 24h-365d incite vivement les utilisateurs à installer le patch développé par Microsoft. Il peut être téléchargé au : http://www.microsoft.com/windows/ie/download/critical/patch6.htm
Réalisé en collaboration avec Panda Software