Microsoft readies emergency IE patch to counter public exploits

– Date : 19 Janvier 2010

– Plateforme : Windows

– Programme : Internet Explorer

– Description :

Quelques jours après la publication d’un exploit "0-day" pour Internet Explorer, Microsoft est sur le point de publier un correctif "out of band".
En effet, la divulgation du code d’exploitation pour la version 6 d’Internet Explorer au sein du célèbre framework Metasploit a mis le feu au poudre. L’exploitation de la vulnérabilité est maintenant triviale à mettre en oeuvre et pourrait faire l’objet de nombreuses attaques.

Bien que la vulnérabilité ne serait pas exploitable aussi facilement sur la version 7 d’Internet Explorer, des chercheurs affirment avoir tout de même réussi ce qui laisserait présager une publication d’un nouveau code rapidement. Microsoft implore donc les internautes de passer à la version 8 d’Internet Explorer qui active par défaut la protection DEP (Data Execution Prevention) rendant l’exploitation impossible.

En attendant la validation du correctif officiel, l’équipe Microsoft’s Security Research & Defense team a développé un correctif temporaire activant cette option sur les autres versions du navigateur.

– Référence :

http://blogs.zdnet.com/security/?p=5268

http://www.securityfocus.com/bid/37815/exploit

– Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249

– Correction :

En attendant la publication du correctif, nous vous recommandons d’appliquer des mesures de contournement afin d’empêcher et/ou de limiter l’exploitation de la vulnérabilité.

Ces mesures sont disponibles dans la section "Mitigating Factors" à l’adresse suivante :

http://www.microsoft.com/technet/security/advisory/979352.mspx

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1263919771