A la Une

Internet Explorer sur les PC menace les utilisateurs

Un explorateur de la sécurité a découvert que Microsoft Internet Explorer (IE), réputé pour sa sécurité médiocre depuis des années, rend les PC vulnérables même s’ils viennent juste d’être installés dessus.

Selon le chercheur John Page, un exploit non corrigé dans la gestion des fichiers MHT (format d’archive Web d’IE) par le navigateur Web, les hackers peuvent à la fois espionner les utilisateurs Windows et voler leurs données locales.

«Comme Windows ouvre par défaut les fichiers MHT à l’aide d’IE, vous n’avez même pas besoin d’exécuter le navigateur pour que cela pose un problème – il vous suffit d’ouvrir une pièce jointe envoyée par chat ou par courrier électronique.»

Ce ne serait pas un problème si ce n’était de la divulgation de la faille. Les détails de l’exploit publiés après que Microsoft aurait refusé de mettre en place un correctif de sécurité urgent, a rapporté Engadget dimanche.

La vulnérabilité concerne Microsoft Windows 7, Windows 10 et Windows Server 2012 R2.

« Microsoft a déclaré qu’un correctif serait « pris en compte » dans une version ultérieure. Même si cela suggère qu’un correctif est en cours, des millions d’utilisateurs risquent d’être vulnérables à moins qu’ils ne désactivent Internet Explorer ou ne pointent vers une autre application capable d’ouvrir les fichiers MHT, » ajoute le rapport.

La nouvelle est arrivée à un moment où Microsoft, qui avait résolu le problème de violation de données Outlook.com, avait contacté certains utilisateurs, les informant du piratage qui exposait les données envoyées par e-mail à des pirates informatiques qui avaient consulté leurs comptes entre le 1er janvier et le 28 mars.

Dans un courrier électronique, Microsoft a affirmé que, outre le contenu des e-mails, pièces jointes comprises, les pirates informatiques pourraient avoir éventuellement consulté les adresses électroniques des comptes, les noms de dossiers et les lignes d’objet des e-mails envoyés et reçus.

L’affaire a été remarquée lorsque le géant du logiciel a découvert que les informations d’identification d’un agent de support étaient compromises pour son service de messagerie Web, ce qui entraînait un accès non autorisé à certains comptes.

Traduction : MIRASTNEWS

Source : the pioneer

Un bogue Internet Explorer permet aux pirates de voler des données même si le navigateur n’est pas utilisé

Lorsqu’un utilisateur ouvre le fichier malveillant, il lance le navigateur.

Fichier MHT localement, permettant aux pirates d’accéder à distance à l’ordinateur et d’exfiltrer des fichiers locaux.

Un chercheur en sécurité a découvert une vulnérabilité dans Internet Explorer de Microsoft qui permet aux pirates informatiques de voler des données d’utilisateur même s’ils n’utilisent pas le navigateur.

John Page, chercheur en sécurité, a expliqué que le navigateur est vulnérable aux attaques par entités externes XML si un utilisateur ouvre quelque chose de malveillant. Fichier MHT localement, permettant aux pirates d’accéder à distance à l’ordinateur et d’exfiltrer des fichiers locaux.

Le format de fichier est utilisé par Internet Explorer pour ses archives Web et un utilisateur doit uniquement ouvrir la pièce jointe illicite reçue par courrier électronique, par messagerie ou par tout autre service de transfert de fichier, les rapports Mashable.

Lorsqu’un utilisateur ouvre le fichier malveillant, il lance le navigateur. Ensuite, même si les commandes telles que « Ctrl + K » pour la duplication d’onglet, « Aperçu avant impression » ou « Imprimer » sont utilisées sur la page Web; cela peut déclencher la vulnérabilité XXE.

En règle générale, Internet Explorer alerte les utilisateurs à l’aide d’une barre de sécurité si l’on tente d’accéder à des objets tels que « Microsoft.XMLHTTP ». Toutefois, avec le fichier MHT spécialement conçu utilisant les balises de balisage XML malveillantes, aucun avertissement de ce type n’est affiché.

La vulnérabilité a été testée avec Internet Explorer 11 et affecte les utilisateurs de Windows 7, Windows 10 et Windows Server 2012 R2.

Traduction : Jean de Dieu MOSSINGUE

MIRASTNEWS

Source : Asian Age

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :