IE = internet explorer

Faille critique sous-évaluée sur IE
22/11/2005 10:31:51 par Ange-Gabriel

Un code permettant d'exploiter une faille non résolue d'Internet Explorer circule sur le Web, mettant des millions d'internautes en danger.

Qualifié de "zero-day exploit" (faille à exploitation immédiate) par plusieurs firmes de sécurité informatique, un code autorisant l'exploitation d'une vulnérabilité du navigateur Internet Explorer de Microsoft circule en ce moment sur le Web.

Publié à partir du Royaume-Uni par le groupe de travail Computer Terrorism, l'exploit de ce programme malicieux permettrait la prise de contrôle à distance de PC sous Windows au moyen d'un simple clic sur un lien infecté. Le Microsoft Security Response Center, qui traite à Redmond de ce genre de menace, devrait publier un avertissement de sécurité dans les prochains jours.

Chez Microsoft, on reconnaît que suite à une erreur d'appréciation, cette faille (sous Windows 2000 Service Pack 4 et Windows XP Service Pack 2) n'a pas reçu l'attention qu'elle méritait, et qu'elle a été, à tort, considérée comme "moyennement critique", au lieu d'être classée parmi les "hautement critiques"… A Redmond, on souligne également que Windows Server 2003, avec ou sans le Service Pack 1, n'est pas concerné, même en configuration par défaut, sous réserve que l'utilitaire de Configuration de Sécurité Avancée soit activé.

En attendant une riposte de l'éditeur, tous les spécialistes du secteur s'accordent pour dire qu'il vaut mieux surfer sur le Web au moyen d'autres navigateurs Internet –les plus souvent cités sont Mozilla Firefox et Opera— et de rester extrêmement prudent.

La preuve que l'exploitation de cette faille est possible peut être consultée sur le site de la FrSirt; en suivant les instructions, vous devriez, sous Internet Explorer, voir la Calculatrice de Windows se lancer "toute seule", mais il est facile d'imaginer ce qu'un pirate pourrait faire d'une telle vulnérabilité…

Pire encore, selon l'ISC (Internet Storm Center; centre de crise sur Internet) du SANS Institute, l'exploitation de cette faille permettrait de copier-coller des bribes de code d'une sur-couche (shell) de Windows à distance. La vulnérabilité, connue sous le nom de "fonction JavaScript Window()", prévoit l'ajout d'un argument au code HTML d'une page Web, qui à son tour lance l'exécution d'un script JavaScript lors du chargement de la page Web piégée.

Selon Computer Terrorism, Microsoft connaissait l'existence de cette faille depuis le mois de mai 2005, mais lui a attribué un niveau de priorité trop faible, retardant d'autant l'élaboration d'un correctif.

Espérons que la riposte ne se fasse pas à son tour attendre pendant six mois…


http://www.generation-nt.com/actualites/10371/Faille-critique-sous-evaluee-sur-IE

Microsoft Internet Explorer CSS Import Information Disclosure Issue

Date de Publication : 2005-12-08 © FrSIRT.COM - Voir Notice Légale
Titre : Microsoft Internet Explorer CSS Import Information Disclosure
Risque : Bas
Exploitable à distance : Oui
Exploitable en local : Oui

Description Technique

Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin d'obtenir des informations sensibles. Le problème résulte d'une erreur présente au niveau de l'importation de certains fichiers CSS (Cascading Style Sheets) par des sites web tiers, ce qui pourrait être exploité par un site web malveillant afin d'accéder, en utilisant la directive "@import" puis la propriété "cssText", à des documents sensibles transmis par un autre domaine.

Versions Vulnérables

Microsoft Internet Explorer 6

Solution

Aucune solution officielle pour l'instant.

Désactiver Active Scripting dans Internet Explorer :

1. Démarrer Internet Explorer.
2. Dans le menu Outils, cliquer sur Options Internet.
3. Sous l'onglet Sécurité, cliquer sur Personnaliser le niveau.
4. Dans la zone Paramètres, cliquer sur Désactiver Active Scripting.
5. Cliquez sur OK.


http://www.frsirt.com/bulletins/3061
http://www.hacker.co.il/security/ie/css_import.html

Microsoft publie la liste des correctifs de sécurité du mois de juin


Microsoft vient d'annoncer, dans le cadre de son programme "Security Bulletin Advance Notification", le planning des prochains bulletins de sécurité pour ce mois de juin. Au programme, des correctifs pour Windows, Exchange et Internet Security and Acceleration (ISA) Server, avec un risque maximum qualifié de Critique. La publication officielle est prévue pour le mardi 14 juin 2005.

Microsoft Security Bulletin Advance Notification
Updated: December 8, 2005

• 7 correctifs pour Microsoft Windows. Le niveau de risque maximal est qualifié de "Critique".
• 1 correctif pour Microsoft Windows et Microsoft Services for UNIX. Le niveau de risque maximal est qualifié de "Modéré".
• 1 correctif pour Microsoft Exchange. Le niveau de risque maximal est qualifié d'"Important".
• 1 correctif pour Microsoft Internet Security and Acceleration (ISA) Server. Le niveau de risque maximal est qualifié de "Modéré".

En complément des correctifs de sécurité, Microsoft publiera une mise à jour de son outil antiviral (Microsoft Windows Malicious Software Removal Tool).

martina a écrit:

J'aurais pas dit mieux

merci pour ces infos precieuses
Nous avons eu aussi ce virus et utilisont mozilla pour le moment mais version anglaise :/
est ce qu'il n'exiterait pas une version francaise par hasard?

Sécurité :
Une faille d’Internet Explorer menace Google Desktop
Publié par Nicolas A. le 5/12/2005

Actualité Une faille d’Internet Explorer menace Google DesktopJusqu'à aujourd'hui, l a majorité des failles découvertes dans le logiciel Internet Explorer de Microsoft avaient pour effet de mettre en danger le navigateur ou le système de l'utilisateur, mais rarement les composants qui l'entourent, notamment lorsque ces composants viennent d'autres éditeurs, différents et même concurrents de Microsoft.
Et bien c'est désormais chose faite, puisqu'un chercheur israélien vient de démontrer qu'il était possible de voler des informations stockées par Google Desktop en utilisant une faille qui demeure non corrigée dans Internet Explorer...

Quand Google Desktop partage la douleur d'Internet Explorer

C'est donc la gestion des CSS, ces feuilles de style dites en cascade et servant à la présentation d'un document en HTML ou en XML (comme une page web), qui font une nouvelle fois défaut au navigateur de la firme de Redmond.
Matan Gillon, chercheur israélien vient en effet de détailler sur sa page comment une feuille de style CSS volontairement piégée pouvait permettre à une personne extérieure d'accéder aux informations stockées par Google Desktop, et donc potentiellement au contenu de l'ordinateur.
"Cette faille dans IE permet à un attaquant d'obtenir des données privées appartenant à l'utilisateur" explique sur sa page Matan Gillon.
"Il n'y aura pas de réelle solution au problème tant que cette faille ne sera pas comblée" ajoute-t-il, expliquant que n'importe quel site utilisant le CSS (c'est à dire une très grande partie) constitue alors un danger potentiel.
Microsoft enquête actuellement sur cette faille, mais précise ne pas avoir connaissance d'un code malicieux tirant profit de cette faille à l'heure actuelle.
De son côté, Google, quelque peu désorienté de voir son propre logiciel en proie à la faille d'un programme concurrent, planche également dans son coin pour tenter d'isoler Google Desktop.

Source : ZDNet

un souci une faille?? il n'y a que maille qui maille................
tu es trop bonne speed euh je te l'ai deja dit?????
smac!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

mais je harcele pas !!!!!!!!!!!!!!!!
je dis que des jolies choses
y a meme pas de gros mots rien
que des compliments...............
mon dieu ais je fait quelque chose qui nuierait a l'image speeditdumal????
smaccccc

Si, tu harcèles Speed_TT et comme tu n'as pas arrêté aprés l'intervention de Tiijan , je supprimes tes derniers posts et désactive ton compte .

Vulnérabilités critiques dans Internet Explorer (13/12/05)

RESUME :
Un nouveau correctif cumulatif est disponible pour les navigateurs Internet Explorer. En plus des vulnérabilités déjà connues, ce patch corrige quatre nouvelles failles dont deux de niveau critique, qui peuvent permettre à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement via une page web piégée. Il corrige notamment la faille divulguée le 21/11/05 dernier de façon irresponsable et déjà exploitée par des sites web malicieux.

LOGICIEL(S) CONCERNE(S) :
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01

CORRECTIF :
Les utilisateurs concernés peuvent installer le correctif correspondant à la version de leur logiciel via le service WindowsUpdate (en français) ou en téléchargeant le correctif sur le site de l'éditeur.

Internet Explorer 7 Bêta 2 disponible
Publié par Nicolas A. le 1/2/2006

Cela fait bien longtemps que nous entendons parler d'Internet Explorer 7, mais malheureusement, Microsoft limitait pour l'instant les versions bêta, qui n'étaient donc pas disponibles pour le grand public.
Ce temps est désormais révolu puisque l'arrivée d'Internet Explorer 7 Bêta 2 marque également l'arrivée du navigateur dans les chaumières, puisqu'il est maintenant disponible pour tous.
Cette nouvelle version aura donc pour mission de redorer le blason de la firme terni par un Internet Explorer 6 plus vraiment capable de tenir tête à toute la concurrence qui s'est développée dans le milieu.
Il inclut donc un système de navigation par onglets, la gestion des flux RSS ainsi qu'un filtre permettant d'éviter les attaques par phishing.
D'autres nouveautés sont également au rendez-vous.
Attention toutefois, cette version uniquement en anglais ne fonctionnera qu'avec les ordinateurs équipés de Windows XP Service Pack 2, à noter que ce logiciel procédera à une vérification de votre version de Windows, les systèmes piratés sont donc exclus.
Si vous répondez à toutes ces conditions, et si ce n'est pas encore fait, vous pouvez dès maintenant découvrir Internet Explorer 7 via le lien qui suit...

http://www.microsoft.com/windows/ie/ie7/ie7betaredirect.mspx

Bah alors Speed, tu n'es pas encore passé sous firefox ?? Ké tu attends louloutte ?

ben kenou! suis passée au firefox depuis un bout de temps, depuis que j'ai chopé une cochonnerie à cause des failles du IE 6, une vraie m....e. et que j'ai dû formater sans aucune sauvegarde.
c'est pour celles qui continuent l'aventure avec IE!
faut bien leur annoncer de bonnes nouvelles de temps en temps!

Il faut surtout leur dire de laisser tomber IE .... :o

Microsoft Windows Explorer Remote Code Execution Vulnerability (MS06-015)

Date de Publication : 2006-04-11 © FrSIRT.COM
Titre : Microsoft Windows Explorer Remote Code Execution Vulnerability (MS06-015)
Identifiant : FrSIRT/AVIS-2006-1320
CVE ID : CVE-2006-0012
OVAL ID : OVAL1191 - OVAL1448 - OVAL1679 - OVAL1743 - OVAL1764
Risque : Critique rouge
Exploitable à distance : Oui
Exploitable en local : Oui

Description Technique

Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau de l'explorateur Windows qui ne gère pas correctement certains objets COM, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires en incitant un utilisateur à visiter une page web malicieuse.

Versions Vulnérables

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 (Itanium)
Microsoft Windows Server 2003 SP1 (Itanium)
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98
Microsoft Windows 98 Second Edition (SE)
Microsoft Windows Millennium Edition (ME)

Solution

Appliquer les correctifs :
http://www.microsoft.com/technet/security/Bulletin/MS06-015.mspx

Références

http://www.frsirt.com/bulletins/4675
http://www.microsoft.com/technet/security/Bulletin/MS06-015.mspx

Crédit

Vulnérabilité découverte par NISCC

La bêta 2 de Firefox 2.0 enfin disponible

La Mozilla Foundation a finalement sorti la bêta 2 du futur navigateur Firefox 2.0 avec sept jours de retard sur la date prévue. Cette version est disponible en téléchargement sur le site de développement dédié à Bonecho, le nom de code de navigateur.

Au menu de cette version: une protection "anti-phishing" intégrée, de nouvelles fonctionnalités pour gérer les onglets et les sessions, ainsi que les flux RSS.

Rappelons que la version finale du navigateur était prévue pour le troisième trimestre 2006, mais que la Foundation a finalement décidé de repousser sa sortie à la fin octobre.


http://www.zdnet.fr/actualites/internet/0,39020774,39363015,00.htm