Sécurité IT : faille transcendante pour Internet Explorer

Matricule : CVE-2014-1776. Nature : faille de sécurité. Importance : critique.

Voilà quelque-uns des principaux éléments à retenir de l’alerte émise ce week-end par Microsoft. La firme a découvert cette vulnérabilité qui touche toutes les versions – 6 à 11 – de son navigateur Web Internet Explorer, sur un large éventail de systèmes d’exploitation.

Liée à une erreur dans la gestion de certains objets en mémoire, cette brèche est de type 0-day : elle a déjà été exploitée de façon malveillante. Les experts en sécurité de FireEye évoquent notamment, sans dévoiler l’identité des pirates, une campagne d’attaques ciblées baptisée « Clandestine Fox ».

La faille en question est déclenchée par l’ouverture d’une page Web malicieuse ou d’un e-mail piégé. Son exploitation peut donner lieu à une exécution de code à distance ; en d’autres termes, une prise de contrôle de la machine ciblée, avec le niveau de privilèges de la session en cours.

A défaut d’un correctif officiel, Microsoft émet quelques recommandations… qui laissent entendre que la vulnérabilité est liée, au moins pour partie, au fichier vgx.dll, ce sous-ensemble du langage XML qui définit un format interopérable pour les graphiques vectoriels. L’éditeur conseille aussi de désactiver, voire de désinstaller le greffon Flash Player, non vulnérable, mais indispensable aux pirates pour mener à bien leurs attaques.

Il est par ailleurs est vivement recommandé de redoubler de vigilance vis-à-vis des fichiers, sites Web et liens hypertexte douteux. Dans ce dernier cas, une solution préventive consiste, pour l’utilisateur final, à configurer son logiciel de messagerie afin d’afficher les mails au format texte plutôt que HTML.

Autre suggestion : télécharger, sur la plate-forme Microsoft Update, les outils EMET 4.1 (« Enhanced Mitigation Toolkit »), qui rendent plus difficile l’exploitation des vulnérabilités sous Windows.

Il est également possible d’agir directement dans Internet Explorer. Non seulement en rehaussant le niveau d’exigence pour les sites de confiance (toutes versions) ou encore en passant en mode sécurisé(IE11 pour Windows 7/8 64 bits). Mais aussi en désactivant l’exécution des scripts ActiveX… ce qui causera toutefois des problèmes sur certains sites comme la banque en ligne.

Disposer d’un logiciel antivirus et en assurer la mise à jour afin de recevoir les dernières signatures de virus est un autre impératif pour lutter contre cette faille CVE-2014-1776. A noter que toutes les déclinaisons de Windows Server 2003 et 2008 sont concernées. Sur desktop, la liste est encore plus longue, mais sans Windows XP, dont le support technique a pris fin ce 8 avril.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Microsoft ?

Crédit illustration : barkas – Shutterstock.com