Microsoft a révélé, vendredi 3 novembre 2006, une nouvelle faille critique qui affecte Windows. Documentée dans l’article 927892, la vulnérabilité touche le XML Core Services 4.0 de Windows et plus particulièrement le contrôleur Active X de XMLHTTP 4.0. Windows 2000 Service Pack 4, Windows XP SP2 ainsi que Windows Server 2003 et SP1 sont concernés par la faille (si le composant XML Core Services est installé).
L’éditeur modère toutefois l’alerte en précisant que « les consommateurs qui utilisent Windows Server 2003 et Windows Server 2003 Service Pack 1 dans leur configuration par défaut, avec le mode de Sécurité Avancée activé, ne sont pas affectés ». De même, il faut visiter un une page Web vérolée pour être victime de la faille. Si celle-ci est exploitée, l’attaquant bénéficiera des mêmes droits d’utilisation que ceux de l’utilisateur local. Une attaque sur le poste d’un utilisateur avec des droits restreints porterait moins à conséquence qe sur une machine aux droits d’administrateur.
« Nous avons été informé d’attaques limitées qui tente d’exploiter la vulnérabilité dévoilée », rapporte le blogger Ben Richeson sur le site du Centre de sécurité de Microsoft. Un correctif de la faille est attendu lors de la prochaine mise à jour mensuelle de sécurité de l’éditeur. Soit le mardi 14 novembre 2006.
Pour l’heure, il n’existe donc aucun correctif officiel. Microsoft recommande de désactiver l’Active Scripting dans les zones « Internet » et « Intranet local » du navigateur Internet Explorer. Mais aussi dans les clients de messagerie Outlook Express 6, Outlook 2002 et 2003 qui peuvent être affectés via l’affichage des courriels au format HTML. A noter que la désactivation de l’Active Scripting peut perturber l’affichage de certaines pages.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…