Vulnérabilité dans Internet Explorer : une mise à jour de Microsoft couvre Windows XP

Microsoft rend disponible une mise à jour de sécurité qui vise à colmater une faille dans le fureteur Internet Explorer.Logo d'Internet Explorer

L’éditeur technologique Microsoft, qui avait annoncé il y a quelques jours qu’une faille de sécurité avait été trouvée dans les versions 6 à 11 du fureteur Internet Explorer, a indiqué qu’une mise à jour était disponible en ligne pour toutes les versions du système d’exploitation Windows, par le biais du mécanisme de mise à jour qui s’amorce automatiquement ou qui est accessible via le Panneau de configuration.

Or, Microsoft a publié une mise à jour pour les versions du fureteur Internet Explorer qui sont utilisées dans le système d’exploitation Windows XP, et ce malgré que le soutien officiel de cette version du système d’exploitation soit terminée officiellement depuis le 8 avril 2014.

Dans un billet qui a été publié dans le blogue officiel de Microsoft, la directrice générale, Informatique de confiance (Trustworthy computing en anglais) de l’éditeur technologique, Adrienne Hall, explique que la mise à jour d’Internet Explorer a été étendue à Windows XP en raison de la proximité entre le moment de découverte de la faille et la date de la fin du soutien officiel du système d’exploitation.

« Bien que Windows XP ne soit plus soutenu par Microsoft et qu’il soit passé le temps où nous fournissions normalement des mises à jour de sécurité, nous avons décidé de fournir une mise à jour pour toutes les versions de Windows XP (incluant la version embarquée [Embedded]) aujourd’hui. Nous avons fait cette exception en raison de la proximité de la fin du soutien de Windows XP » (traduction libre), déclare Mme Hall.

« En réalité, il y a eu un très petit nombre d’attaques qui étaient fondées sur cette vulnérabilité et les inquiétudes étaient, franchement, exagérées. Malheureusement, il s’agit d’un signe des temps et cela ne veut pas dire que nous ne prenons pas ces rapports au sérieux. Absolument, nous le faisons » (traduction libre), ajoute Mme Hall.

La dirigeante de la division Informatique de confiance chez Microsoft ajoute que les utilisateurs de Windows XP ne devraient pas cesser pour autant de mettre de côté ce système d’exploitation et de passer à une version plus récente de Windows. Elle recommande aussi aux utilisateurs du système d’exploitation Windows 7 d’opter pour la version 11 d’Internet Explorer.

La vulnérabilité dans Internet Explorer qui a fait l’objet d’un correctif de la part de Microsoft permet l’exécution de code à distance en raison de la façon par laquelle le fureteur accède en mémoire à un objet qui a été effacé ou qui n’a pas été alloué de façon appropriée. Ainsi, un attaquant pourrait obtenir les mêmes droits que l’utilisateur d’un ordinateur s’il exploite cette vulnérabilité.

« La vulnérabilité peut corrompre la mémoire d’une façon telle qu’un attaquant pourrait exécuter du code arbitraire selon un contexte qui est propre à un utilisateur dans Internet Explorer. Un attaquant pourrait héberger un site web qui est spécialement conçu pour exploiter cette vulnérabilité par le biais d’Internet Explorer et ensuite convaincre l’utilisateur d’aller voir ce site web [traduction libre] », indiquait Microsoft dans l’avis de sécurité 2963983, qui a été publié pour annoncer la découverte de la faille.

Jean-François Ferland
Jean-François Ferland
Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.

Articles connexes

Microsoft publie un correctif pour les contrôleurs de domaine

Microsoft a publié un correctif hors bande pour un...

Cisco identifie des vulnérabilités dans son « Identity Services Engine »

La solution de contrôle d'accès au réseau de Cisco Systems comporte cinq vulnérabilités classées Élevées qui pourraient permettre à un attaquant distant authentifié d'injecter des commandes arbitraires du système d'exploitation, de contourner les protections de sécurité et de mener des attaques de script intersite.

Microsoft va lancer une application de paiement intégrée à Teams en décembre

Microsoft est sur le point d’introduire un système de paiement au sein de Teams, qui sera déployé en avant-première publique en décembre. L'application Payments, disponible dans la boutique d'applications Microsoft Teams, permettra aux utilisateurs d'être payés par les clients pour des rendez-vous, des cours ou des événements hébergés via Teams. 

Microsoft annonce de nouveaux outils de gestion de la chaîne d’approvisionnement

La pandémie a démontré à quel point les perturbations de la chaîne d'approvisionnement font du tort aux industries. Et même aujourd'hui, les efforts pour restaurer complètement la chaîne sont loin d'être terminés. D’ici-là, Microsoft annonce le Supply Chain Platform et le Supply Chain Center pour au moins en faciliter un peu la gestion.

Les pièces jointes aux courriels Outlook.com seront comptabilisées dans le stockage OneDrive

Dans une mise à jour par courriel à ses détenteurs de compte, Microsoft a annoncé que les pièces jointes aux courriels Outlook.com seront prises en compte dans le stockage en nuage Microsoft OneDrive à partir du 1er février 2023.