Vulnérabilité commune à Internet Explorer et MSN Messenger
Par
Nicolas Aguila
| Publié le 18/07/2005 à 19:45
Source : Présence PC | Mots-clés : vulnerabilite, Internet, Explorer, MSN | Thèmes : Microsoft Windows Live! Messenger
Source : Présence PC | Mots-clés : vulnerabilite, Internet, Explorer, MSN | Thèmes : Microsoft Windows Live! Messenger
Syndication :
Alors que la nouvelle version du célèbre navigateur propriétaire du géant de Redmond se fait de plus en plus attendre, celui-ci croule sous les failles de sécurité et différentes vulnérabilités.Cette fois, c'est une vulnérabilité commune à Internet Explorer et au client MSN de la société que nous avons à faire.
Le site SécurityFocus a publié Samedi un rapport sur cette vulnérabilité.
les versions 5.x et 6.x d'Internet explorer sont touchées, ainsi que les versions 7.x et 6.x de MSN messenger.
Selon les experts, la faille, de type buffer overflow, se situe au niveau de la gestion des profils ICC (International Colour Consortium) dans des images de type jpeg, tiff, etc...
Un profil ICC sert à gérer les couleurs d'un fichier numérique par rapport à celles qui seront utilisées par le périphérique (comme un écran ou un appareil photo numérique).
Elle permettrait, une fois exploitée, de faire planter le programme qui l'a lancée, ou encore l'exécution de code sur la machine cible et, à terme, la prise de contrôle de celle-ci.
"Si MSN Messenger ou Internet Explorer ouvre une image pouvant permettre ce genre d'attaque, il serait au minimum possible de les faire planter. L'image aurait alors été conçue pour arriver à cet effet.", ajoute le porte-parole d'une société spécialisée dans la sécurité informatique et le hacking.
Les experts n'excluent également pas la possibilité de l'utilisation de la faille par un ver, qui se répandrait ensuite via la machine infectée, en tenant compte de la possibilité de l'éxecution de code que donne la faille, même si ceci n'a pas encore été réalisée et qu'il n'existe pas encore réellement de "proof of concept" ("preuve que ça existe", consiste à exploiter la faille pour montrer sa présence et son importance).
Le patch corrigeant cette vulnérabilité est maintenant attendu, surtout que Microsoft a déjà sorti une rustine en Octobre dernier pour corriger une faille du même type dans Internet Explorer et d'autres programme.
Le risque engendré par la faille était à l'époque jugé "très haut" par les experts.
Voir le rapport de SecurityFocus
Source : ZDNet UK
-
Actualité précédente
Baisses de prix prochaines chez Wanadoo -
Actualité suivante
Papa, tu me prêtes ta Xbox 360 ?
Discussions en cours sur le forum
- Vulnérabilité commune à Internet Explorer et MSN Messenger [Les news]
- Nouvelle vulnérabilité avec Internet Explorer [Les news]
- SP2 ou pas, Internet Explorer est vulnérable. [Les news]
- [RESOLU]probleme windows live messenger [Logiciels]
- Windows Vista : le test ! [Les dossiers]
Posez votre question sur ce sujet à la communauté !
Que dire à par vivement le patch :-o
que dire à part utilisez Firefox et un client IRC ou autre :-P
Ouais parce qu'au moins quand il y a un gros problème, il est rapidement résolu sous firefox...
ma question va paraitre ridicule c'est quoi free fox SVP moi j'utilise avant browser merci beaucoup
Ta question n'est pas ridicule, personne n’a le savoir absolu.
Firefox est un navigateur web, tout comme l'est Internet Explorer ou Avant Browser (enfin, celui-ci n'est en faite qu'une "surcouche" d'IE).
Pour l'obtenir: http://mozilla.org !
C'est un très bon navigateur, rapide, sure et pratique ! De plus c'est un logiciel libre (le code source est disponible et modifiable).
Il a des fonctions indédites que n'a pas IE comme la navigation par onglets et le blocage de Pop-Up.
On trouve une tripotée d'extensions pour ce navigateur sur http://addons.mozilla.org/
Pratique surtout que la 1.0.5 est sorti hein !
Vive les version finale qui deviennent en 2H des build (beta) mais bon sa m'etonne pas. Et maintenant ils demandent notres aide pour la 1.0.6, bon sang :-o
Pourtant il me semble que dans le bulletin de sécurité microsoft de juillet il est question d'un correctif concernant une vulnérabilité dans le module de gestion des couleurs de Microsoft.
Donc a priori c'est corrigé, à condition d'aller sur windows update ou d'avoir activé les maj auto....à moins que ce soit encore autre chose
Edit: ah bah si si le correctif est la, depuis le 12 juillet !!
vulnérabilité module de gestion des couleurs bulletin de sécu juillet
Ok mais les maj dans updtate viennent le 1er mardi de chaque mois donc pas encore !
Faux je viens de jeter un coup d'oeil a mon historique des Maj sur windows update et j'ai le dit correctif depuis le 13 juillet.....donc la maj fait parti des updates mensuelles en l'occurence l'update de juillet. Il y'a d'ailleurs deux autres trucs dont un énième outil de suppression de logiciels malveillants estampillé juillet 2005 et un correctif pour une vulnerabilité dans le jview profiler.
Arreter de dire plein de truc cool sur firefox on va peut etre decouvrir un faille presque isdemtique sous firefox et je vous rappelle aussi que la version 1.0.4 cntient un faille vieille de 7 ans !
Bon ben c'est normal quoi ! mais bon vu que j'utilise firefox et GAIM !
Que dire aussi par, "a déjà sorti une rustine en Octobre" ? et qui soit disant corrigeai déjà ce pb pour Explorer? A croire que c´est des gros branleurs chez Microhard, qui attendent qu´on ait tous des super grosses merdes sur nos ordi... voire les leurs, pour bouger un peu... :-(
Etc...