La vulnérabilité découverte le 11 janvier dernier permettait l’exécution de code local à distance, susceptible d’entrainer la prise de contrôle à distance d’une machine infectée par le biais d’une page Web spécialement conçue. L’affaire a rapidement pris un tour politique, ainsi qu’à un très fort écho médiatique, dès que Microsoft a publiquement reconnu que la faille avait pu jouer un rôle dans la vague d’attaque visant Google et ayant failli entraîner un incident diplomatique entre la Chine et les USA.

Si votre Windows est réglé pour installer automatiquement les correctifs de sécurité, la mise à jour se fera automatiquement. Sinon nous vous invitons à lancer l’utilitaire de mise à jour et à sélectionner puis installer le patch relatif à Internet Explorer qui vous sera proposé.

Le bulletin de sécurité de Microsoft sur microfost.com/technet

Plus d’infos sur ZD Net

Le Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (Certa) a émis un bulletin d’alerte dès le 15 janvier. « Dans l’attente d’un correctif de l’éditeur, Le CERTA recommande l’utilisation d’un navigateur alternatif » précise le bulletin. Dans la foulée, l’Office fédéral allemand pour la sécurité de l’information (BSI) a demandé aux Allemands de cesser d’utiliser Internet Explorer.

Une « vulnérabilité » dans le navigateur « permet à une personne malintentionnée d’exécuter du code arbitraire à distance ». Cette mise en garde concerne les versions 6, 7 et 8 d’Internet Explorer.

Microsoft a toutefois rejeté ces accusations, assurant que les défauts de sécurité rencontrés par Google ne concernent pas les particuliers. Selon Microsoft, la faille rencontrée cette semaine peut être solutionnée en réglant les paramètres de sécurité du navigateur sur « élevé ». Mais selon le BSI, cette disposition est insuffisante. « Utiliser Internet Explorer en ‘mode sécurité’ rend les attaques plus difficiles, mais ne les empêche pas complètement », explique le BSI. Le Certa conseille de son côté de naviguer avec un compte aux droits limités quel que soit le navigateur, et de désactiver les fonctions Javascript et ActiveX, ce qui peut toutefois rendre inaccessibles certains sites.

Sources : ZD Net et Le Monde

Les bulletins d’alerte du CERTA et du BSI

Les conseils de notre partenaire Secuser

Le Bulletin d’Alerte du CERTA

Microsoft publie son patch correctif

Tard dans la soirée de mercredi 17 décembre, Microsoft a procédé à la mise en ligne du patch correctif pour Internet Explorer. Si l’option « Mise à jour Automatique » est activée sur votre PC sous Windows, rien à faire ou presque : ce correctif est téléchargé automatiquement et ,suivant le niveau de sécurité que vous avez affecté à votre système, vous devrez au pire valider son installation.

Ce correctif s’adresse à toutes les versions d’Internet Explorer depuis IE 5.01 SP4.

Si vos mises à jour automatiques sont desactivées, vous pouvez télécharger ce patch à partir de cette page : www.microsoft.com/downloads

Détails de la mise à jour de sécurité KB960714 sur  support.microsoft.com