Microsoft publie un correctif important pour Internet Explorer
PartagerUn porte-parole de Microsoft a annoncé mercredi qu'un correctif fixant la vulnérabilité critique d'Internet Explorer (exploitée par Scob/Download.Ject) serait bientôt disponible. Ce patch devait être publié la semaine prochaine, plusieurs jours avant le patch-day de Microsoft (deuxième mardi du mois).
En fait ce correctif est sorti plus tôt que prévu (le 30/07) sous la référence Microsoft Internet Explorer Cumulative Security Update (MS04-025). Il couvre également deux autres failles connues mais non corrigées. On peut le charger sur Windows Update.
Début juillet, Microsoft avait publié un pseudo-correctif visant à corriger une partie de ces vulnérabilités. Il se contentait de désactiver le module "Adodb.stream" permettant l'exécution de scripts ActiveX en mode local, ce qui, combiné avec d'autres failles IE, a été exploité par Scob/Download.Ject.
Le premier problème "Navigation Method Cross-Domain", identifié depuis plusieurs semaines, a été largement exploité dans la série d'attaques Scob/Download.Ject, ainsi que par des sites malicieux installant des spyware/adware. La seconde vulnérabilité "Malformed BMP File Buffer Overrun" a été identifiée en Février 2004 suite à un audit sur le code source (volé) de Windows 2000, elle pourrait permettre l'exécution de commandes arbitraires distantes via un fichier BMP malformé. La dernière faille "Malformed GIF File Double Free Vulnerability" a été identifiée en Septembre 2003, elle pourrait être exploitée par un attaquant distant afin d'exécuter des commandes arbitraires via un fichier GIF malicieux.
Synthèse par Jean-Pierre Louvet - Futura-Sciences
de deux articles de K-Otik.
Ce sujet vous a intéressé ? Plus d'infos en cliquant ici... 
Sur le même sujet
Actualités |
Dossiers |
Glossaire |
Livres |
Tags |
