Il y a bien une faille dans Internet Explorer... que Microsoft ne peut pas corriger pour l'instant

21 janvier 2020 à 15h00
15
Internet explorer logo

Au cours de l'année, le navigateur Internet Explorer aura reçu des mises à jour concernant des failles parfois critiques. Microsoft a déjà mis à jour le logiciel en urgence en septembre dernier, face à un défaut de sécurité capable de donner le contrôle d'un ordinateur à un pirate.

Le géant américain vient de confirmer l'existence d'une autre faille révélée pour la première fois par l'US-CERT, la division de la sécurité intérieure chargée de signaler les failles de sécurité majeures. Si Microsoft affirme travailler sur un nouveau correctif, celui-ci ne sera pas prêt tout de suite.

Toutes les versions de Windows sont concernées

La faille dont il est question concerne la gestion de la mémoire par Internet Explorer. Elle touche toutes les versions de Windows, y compris Windows 7 qui ne compte plus de mises à jour de sécurité depuis quelques jours. D'après TechRadar, ce défaut de sécurité serait étonnamment similaire à une faille zero day récemment révélée sur Mozilla Firefox.

Elle est susceptible de permettre à un pirate informatique de lancer du code malveillant sur l'ordinateur exécutant Internet Explorer. L'US-CERT a tweeté vendredi 17 janvier une note de sécurité révélant son existence. Celle-ci indique qu'elle aurait déjà été exploitée par des hackers, une information rapportée par Qihoo360, une entreprise chinoise spécialisée dans la cybersécurité.


Pas de correctif avant le 11 février

Néanmoins, ni Qihoo360, ni Microsoft, ni Mozilla n'ont rapporté le procédé précisément utilisé pour les attaques, ni qui en était à l'origine, ni qui avait été ciblé. Microsoft a déclaré à la rédaction de TechCrunch qu'elle était « au courant des attaques ciblées » et qu'elle « travaillait sur un correctif ». L'entreprise affirme cependant que ce patch ne devrait pas être disponible avant la prochaine série de mises à jour, actuellement prévue pour le 11 février.

La menace semble être prise suffisamment au sérieux pour que la CISA (Cybersecurity and Infrastructure Security Agency, créée en 2018) publie à son tour un avertissement. Elle recommande la lecture de la note de sécurité de l'US-CERT, celle publiée par Microsoft et l'application des mises à jour dès leur publication. Elle ajoute : « Envisagez d'utiliser Microsoft Edge ou un autre navigateur jusqu'à ce que des correctifs soient disponibles ».


En février dernier, Microsoft avait averti des dangers de l'utilisation d'Internet Explorer, essayant de faire passer ses utilisateurs à Edge. D'après le site NetMarketShare, « IE » recensait encore 7,44 % des parts de marché en décembre 2019.

Source : TechRadar
Modifié le 22/01/2020 à 14h55
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
15
11
dredd
7,44% d’utilisateurs de portails ou de web apps uniquement compatibles avec IE que personne ne veut, ou ne sait comment, mettre à jour.<br /> Ce truc a tellement été en position dominante a une époque où tout allait dans tous les sens que des tas de trucs foireux ont été développés avec uniquement ce navigateur en tête. J’en connais certains, si demain IE ne fonctionne plus, c’est 100% de leur productivité qui s’arrête. C’est quand même assez dingue.
Kriz4liD
Dans mon taf , on a des applications qui ne fonctionnent qu avec flash et Java 7 … Avec en prime des certificats non valides .
gwlegion
ca deviens grave … il serait temps que votre SI se remue les fesses
barjy
Si déjà il y a un certificat (valide ou pas), c’est que la connexion est chiffrée, c’est déjà ça
barjy
Et ptet que le SI n’a pas les moyens (financier) de remplacer l’application concernée, voir même qu’aucune autre appli ne peut la remplacer tout court… il a bon dos le « SI » hein!
gwlegion
je parlais du SI au sens general … evidament, pas que le SI, mais les decideurs aussi …<br /> enfin, je crois qu’on connais tout les deux les problematiques ^^<br /> n’empeche que java7 et flash, c’est pas des bonnes idées …
K4minoU
et moi qui pensait que ma SI est foireuse… =)<br /> Bon courage lol
dredd
Tu bosserais pas pour certaines institutions « multi-étatiques » ?<br /> Parce que ce que tu décris, c’est mon cauchemar quotidien. Et c’est pas qu’une question de SI qui fout rien. Parfois c’est des trucs dont personne ne sait qui est responsable et qu’il est impossible de changer sans que quelqu’un en prenne la responsabilité. Laisse moi te dire que t’as personne prêt a risquer sa carrière pour un truc dont il n’a rien a foutre et c’est normal.
Popoulo
« ni Qihoo360, ni Microsoft, ni Mozilla n’ont rapporté le procédé précisément utilisé pour les attaques, ni qui en était à l’origine, ni qui avait été ciblé »<br /> Toujours la même rengaine. Alignement des planètes toussa…
Sekki
Bas en même temps Internet Explorer devait être remplacé par Edge qui lui même est remplacé par le nouveau Chronium truc. Du coup ca fait pas mal d’historique à maintenir tout ça.
Kriz4liD
Tu résumes très bien notre cas, personne ne souhaite prendre cette responsabilité.
daerlnaxe
Il me semble qu’Edge n’est pas compatible en dessous de 7 et beaucoup de boites sont encore sous xp.
gwlegion
le soucis, c’est qu’en ne fesant rien, ils prennent la responsabilitée des problemes a venir
gabnight
Il est impossible d’accéder aux données systèmes en utilisant JavaScript. Il est seulement possible de télécharger un fichier par la fenêtre de gestion de fichier lorsqu’un site a besoin que vous lui fournisseur un document. Ici, il s’agit d’une utilisation malveillante d’une faille dans le code du navigateur internet qui permet de sortir d’un contexte standard JavaScript.
Voir tous les messages sur le forum

Actualités du moment

Les bioplastiques sont-ils la solution environnementale tant attendue ?
FlixBus, l'opérateur de mobilité, pulvérise son record de passagers en France en 2019
Soldes 2020 : Pack gaming Corsair 4 en 1 (clavier, casque, souris et tapis de souris) à 99,99€
Les iPhone XS et XS Max apparaissent en
Soldes Amazon : lot de 3 ampoules connectée compatible Alexa/Google assistant à 27,59€
Crew Dragon : les astronautes circuleront en Tesla Model X sur la base de lancement
Soldes Amazon 2020 : microphone USB Bird UM1 en promo à 49,90€ au lieu de 59€
Soldes : le casque bluetooth Mixcder E7 à réduction de bruit active à moins de 50€
Reconnaissance faciale dans l'UE : Google favorable à une régulation, Microsoft à une utilisation
Haut de page