Les fonctionnaires fédéraux ont émis un avertissement aux utilisateurs d'Internet Explorer: Cessez d'utiliser le navigateur Web jusqu'à ce que Microsoft puisse limiter les menaces à la sécurité.
L’équipe américaine d’urgence informatique, une division du département de la Sécurité intérieure, émet l’avertissement. L'agence gouvernementale recommande d'éviter l'utilisation d'Internet Explorer jusqu'à ce que Microsoft trouve une solution au problème de navigation dans le navigateur que des pirates informatiques ont déjà utilisé pour lancer des attaques. Le CERT a déclaré dans un communiqué cette semaine:
$config[code] not found«US-CERT est au courant de l’exploitation active d’une vulnérabilité d’utilisation après exploitation dans Microsoft Internet Explorer. Cette vulnérabilité concerne les versions 6 à 11 d'IE et pourrait permettre l'exécution de code à distance non autorisée. ”
Microsoft a fourni des solutions de contournement aux utilisateurs assidus d’Internet Explorer ou à ceux qui ne peuvent utiliser un autre navigateur. Mais les utilisateurs de Windows XP ne trouveront pas ces solutions de contournement bénéfiques, déclare CERT. Ils doivent absolument trouver un autre navigateur Web jusqu'à ce que le risque de sécurité soit géré.
Dans son propre avertissement cette semaine, Microsoft a expliqué que le bogue d'IE est classé comme une vulnérabilité d'exécution de code à distance. Dans un avis de sécurité publié sur le site Web de Microsoft, la société déclare:
«La vulnérabilité existe dans la manière dont Internet Explorer accède à un objet en mémoire qui a été supprimé ou qui n’a pas été correctement alloué. Cette vulnérabilité pourrait corrompre la mémoire de manière à permettre à un attaquant d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel dans Internet Explorer. Un attaquant pourrait héberger un site Web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web. "
Si vous êtes attaqué par la vulnérabilité de sécurité d'Internet Explorer, un pirate informatique pourrait obtenir les mêmes informations d'identification administratives que celles que vous avez sur votre ordinateur. Cela pourrait inclure l'accès à des informations sensibles non seulement sur vous-même, mais également sur vos employés et clients. Les utilisateurs ayant moins d'accès sur un ordinateur spécifique et qui sont piratés seraient moins touchés par la vulnérabilité de sécurité, note Microsoft.
Pour que l'attaque se produise, un utilisateur d'ordinateur doit cliquer sur un lien vers la page Web de l'attaquant envoyée par courrier électronique ou par messagerie instantanée. Lorsque le lien est cliqué, le site Web peut exploiter le problème de sécurité d’IE, permettant ainsi à la cyberattaque de se poursuivre.
Dans son avis de sécurité, Microsoft indique que tout correctif visant à atténuer cette vulnérabilité avec Internet Explorer serait probablement publié dans une mise à jour de sécurité mensuelle. Toutefois, en fonction du délai de développement d'un nouveau correctif, Microsoft peut choisir de publier une mise à jour de sécurité spéciale pour la plupart de ses utilisateurs.
En dehors des utilisateurs de Windows XP, Microsoft indique que les utilisateurs peuvent contourner les failles de sécurité liées à leur navigateur de plusieurs manières en fonction du type de produit Microsoft utilisé.
Par exemple, les utilisateurs opérant sous Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2 peuvent activer le mode de configuration de sécurité renforcée. Cela devrait atténuer le risque de sécurité, estime Microsoft.
Pendant ce temps, les utilisateurs de Microsoft Outlook, Microsoft Outlook Express et Windows Mail ne doivent ouvrir les courriers électroniques HTML que dans la zone Sites sensibles. Microsoft avertit que cliquer sur les liens dans le programme de messagerie ordinaire pourrait exploiter la faille de sécurité de votre navigateur.
Il s'agit de la première faille de sécurité majeure sous Windows et Internet Explorer depuis que Microsoft a cessé de prendre en charge le système d'exploitation XP. Microsoft a annoncé plus tôt ce mois-ci qu'il ne publierait plus de mises à jour de sécurité et de logiciels pour le système d'exploitation autrefois populaire. Ainsi, lorsque Microsoft publiera une mise à jour pour remédier à cette vulnérabilité d'IE, celle-ci ne sera probablement pas compatible avec Windows XP.
Microsoft Photo via Shutterstock
4 commentaires ▼