Avis de sécurité Microsoft (980088)
Une vulnérabilité dans Internet Explorer pourrait permettre une divulgation d'informations
Paru le: | Mis(e) à jour:
Microsoft étudie le rapport d'une vulnérabilité révélée publiquement dans Internet Explorer, qui concerne nos clients exécutant Windows XP ou ayant désactivé le mode protégé d'Internet Explorer. Cet Avis contient des informations concernant les versions d'Internet Explorer qui sont vulnérables, ainsi que des solutions de contournement et des facteurs atténuants pour ce problème.
À ce jour, notre enquête a démontré que si l'utilisateur emploie une version d'Internet Explorer qui ne s'exécute pas en mode protégé, un attaquant pourrait accéder à des fichiers dont il connaîtrait le nom et l'emplacement. Ces versions incluent Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 Service Pack 4, Internet Explorer 6 Service Pack 1 sur Microsoft Windows 2000 Service Pack 4 ainsi que Internet Explorer 6, Internet Explorer 7 et Internet Explorer 8 sur les éditions en cours de support de Windows XP Service Pack 2, Windows XP Service Pack 3 et Windows Server 2003 Service Pack 2. Le mode protégé empêche l'exploitation de cette vulnérabilité. Il est exécuté par défaut avec les versions d'Internet Explorer sur Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
Cette vulnérabilité est due à du contenu qui s'affiche de manière incorrecte à partir de fichiers locaux, d'une façon telle que des informations peuvent être exposées sur des sites Web malveillants.
Microsoft a publié le Bulletin MS10-035 pour corriger le vecteur connu pour le problème principal dans Internet Explorer 7 et Internet Explorer 8, versions les plus récentes d'Internet Explorer. Cependant, toutes les versions d'Internet Explorer restent soumises au problème suivant : si un attaquant peut mettre du contenu en cache dans un emplacement prévisible sur le système d'un utilisateur et peut déterminer le nom d'utilisateur, il se peut alors que l'attaquant puisse afficher des fichiers sur le système local auquel l'utilisateur a accès.
À ce jour, Microsoft n'a pas connaissance d'attaques tentant d'utiliser cette vulnérabilité. Nous continuerons à surveiller l'évolution des menaces et à mettre à jour cet Avis de sécurité. Dès la fin de cette enquête, Microsoft prendra les mesures nécessaires afin d'aider à protéger ses clients, ce qui peut comprendre la fourniture d'une solution par l'intermédiaire du cycle mensuel des mises à jour de sécurité ou lors d'une publication exceptionnelle.
Nous collaborons activement avec nos partenaires du Microsoft Active Protections Program (MAPP) et de la Microsoft Security Response Alliance (MSRA) afin de fournir les informations dont ils ont besoin pour offrir des protections plus efficaces à leurs clients. En outre, nous travaillons activement avec nos partenaires pour surveiller l'évolution des menaces et prendre les actions nécessaires contre les sites malveillants qui tentent d'exploiter cette vulnérabilité.
Microsoft continue à encourager ses clients à suivre les conseils de la rubrique « Protégez votre ordinateur » : activez le pare-feu de Windows, maintenez vos logiciels à jour, utilisez un antivirus et un logiciel anti-espion à jour. Des informations complémentaires sont disponibles sur le site Sécurité à la maison.
Facteurs atténuants :
- Le mode protégé empêche l'exploitation de cette vulnérabilité. Il est exécuté par défaut avec les versions en cours de support d'Internet Explorer sur Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2.
- Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web qui contiendrait une page Web spécialement conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus ou des annonces provenant d'utilisateurs pourraient contenir un contenu malveillant susceptible d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
- Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
- Par défaut, Internet Explorer sur Windows Server 2003 et Windows Server 2008 s'exécute selon un mode restreint nommé Configuration de sécurité améliorée. Ce mode définit le niveau de sécurité pour la zone Internet sur Élevé. C'est un facteur atténuant pour les sites Web qui n'ont pas été ajoutés à la zone Sites de confiance d'Internet Explorer.
- Par défaut, toutes les versions de Microsoft Outlook, Microsoft Outlook Express et de Windows Mail en cours de support ouvrent les messages au format HTML dans la zone Sites sensibles. La zone Sites sensibles contribue à atténuer les attaques qui tenteraient d'exploiter cette vulnérabilité en empêchant les contrôles Active Scripting et ActiveX d'être utilisés lors de la lecture de message au format HTML. Cependant, en cliquant sur un lien figurant dans un message électronique, l'utilisateur s'expose toujours à une attaque Web exploitant cette vulnérabilité.
Informations générales
Présentation
Forum aux questions
Actions suggérées
Autres informations
Ressources :
- Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et de support Microsoft : Contactez-nous.
- En cas de problème, contactez les services de support sécurité Microsoft. Pour plus d'informations sur les options de support disponibles, consultez le site Web Aide et de support Microsoft.
- Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour savoir comment contacter le Support Microsoft, consultez le site Web Support international.
- TechNet sécurité fournit des informations complémentaires sur la sécurité dans les produits Microsoft.
Dédit de responsabilité :
Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.
Révisions :
- V1.0 (3 février 2010) : Avis publié.
- V1.1 (10 février 2010) : Indication du facteur atténuant proposé par le mode protégé. Précision d'une réponse dans le Forum aux questions et d'une solution de contournement concernant le mode protégé.
- V1.2 (9 juin 2010) : Ajout d'informations à propos de MS10-035 et précision concernant une réponse dans le Forum aux questions à propos du vecteur de mise en cache.