Fidèle à sa nouvelle politique de diffusion mensuelle des patches de sécurité, Microsoft, et ce malgré la prise en défaut du précédent, attendant le 11 du mois pour diffuser ses correctifs en paquet. Bien que MS espère ainsi que nous ne parlerons de ses problèmes de sécurité qu'une fois par mois, nous consacrerons un autre article aux patches pour MS Office.

Le patch cumulatif du jour reprend toutes les corrections des précédents et vient combler de nouvelles failles de sécurité que peuvent être critiques selon les configurations logicielles.

Taux de sévérité

1. Modèle de sécurité trans-domaines (Cross-domain)

Trois vulnérabilités différentes mais ayant le même effet impliquent le modèle de sécurité trans-domaines d'Internet Explorer, qui empêche à des fenêtres de domaines différents de partager de l'information. Ces vulnérabilités pourraient aboutir à l'exécution d'un script dans la zone de sécurité locale d'IE. Pour exploiter une de ces vulnérabilités, un attaquant devrait héberger un site Web malveillant qui contient une page Web conçue pour exploiter cette vulnérabilité particulière et persuader ensuite l'utilisateur d'afficher la page Web dans son navigateur MS. L'attaquant pourrait également créer un message électronique au format HTML conçu pour exploiter une de ces vulnérabilités et persuader l'utilisateur d'afficher le message électronique en HTML (OE, Outlook, Incredimail, etc. utilisent le moteur d'affichage d'IE pour afficher le contenu HTML des emails). Après que l'utilisateur a visité le site Web malveillant ou a affiché le message électronique en HTML malveillant, l'attaquant qui a exploité une de ces vulnérabilités pourrait avoir accès à l'information venant d'autres sites Web, accéder à des fichiers sur le système de l'utilisateur et lancer du code arbitraire sur le système de l'utilisateur. Ce code fonctionnerait dans le contexte de sécurité sous lequel l'utilisateur est actuellement enregistré.

2. XML Object

La seconde vulnérabilité du jour implique la manière dont l'information sur les zones Internet est transmise à un objet XML dans Internet Explorer qui ne valide pas correctement le chemin quand du contenu est lié à un document XML. En conséquence, du contenu d'un fichier local peut être lié à un document XML depuis la zone Internet ou depuis la zone intranet. Cette vulnérabilité pourrait permettre à un attaquant de lire des fichiers locaux sur le système de l'utilisateur. Pour exploiter cette vulnérabilité, un attaquant devrait héberger un site Web malveillant qui contient une page Web qui est conçue pour exploiter cette vulnérabilité particulière et persuader ensuite un utilisateur d'afficher la page Web sur IE. L'attaquant pourrait aussi créer un message électronique en HTML conçu pour exploiter cette vulnérabilité et persuader l'utilisateur d'afficher le message électronique en HTML. Après que l'utilisateur visite le site Web malveillant ou affiche le message électronique en HTML malveillant, l'utilisateur serait alors incité à télécharger un fichier HTML. Si l'utilisateur accepte le téléchargement de ce fichier HTML, un attaquant pourrait lire les fichiers locaux qui sont dans un emplacement connu sur le système de l'utilisateur. Ainsi, il pourrait obtenir une liste de sites récemment visités, voler les informations de session des cookies ou accéder à des données dans des fichiers qui sont stockés dans un endroit connu du système.

3. DHTML Events

La troisième faille colmatée implique l'exécution, dans Internet Explorer, d'une opération de glisser-déplacer pendant les événements HTML dynamique (DHTML) – ce sont des actions spéciales qui sont exposées par le DHTML Object Model. Ces événements peuvent être utilisés dans du code de scripts pour ajouter du contenu dynamique à un site Web. La technologie de glisser-déposer valide improprement certains événements DHTML. Cette vulnérabilité pourrait permettre à un fichier d'être enregistré dans un emplacement cible sur le système de l'utilisateur si l'utilisateur clique sur un lien. Aucune boîte de dialogue ne demanderait que l'utilisateur approuve ce téléchargement. Pour exploiter une de ces vulnérabilités, un attaquant devrait héberger un site Web malveillant qui contient une page Web qui a un lien spécialement conçu. L'attaquant devrait alors persuader un utilisateur de cliquer sur ce lien. L'attaquant pourrait aussi créer un message électronique en HTML qui a un lien spécialement conçu et persuader ensuite l'utilisateur d'afficher le message électronique HTML et cliquer ensuite sur le lien malveillant. Si l'utilisateur a cliqué sur ce lien, le code au choix de l'attaquant pourrait être enregistré sur l'ordinateur de l'utilisateur dans un emplacement ciblé.

Installation du correctif

MS précise que si tout système où Windows est installé est vulnérable et le patch doit être installé immédiatement sur tous les système (mais on attend quand même le jour dit, pour l'annoncer). Pourtant, ceux sur lesquels Internet Explorer est activement utilisé sont davantage à risque. Les systèmes sur lesquels IE n'est pas activement utilisé (comme la plupart des systèmes de serveurs) sont exposés à un risque réduit (NB : les surcouches comme MyIE2, Avant Browser ou les logiciels de navigation d'AOL et de MSN utilisent aussi IE).

• Le patch pour Internet Explorer 6 Service Pack 1 (SP1) doit être installé pour IE SP1 (version 6.00.2800.1106) fonctionnant sur Windows 98, 98 Second Edition, Millennium Edition, NT Workstation 4.0 Service Pack 6a, NT Server 4.0 Service Pack 6a, NT Server 4.0 Terminal Server Edition, Service Pack 6, 2000 Service Pack 2, Service Pack 3, Service Pack 4, XP et XP Service Pack 1.
• Ensemble de correctifs de sécurité pour Internet Explorer 6 Service Pack 1 Édition 64 bits (KB824145) en français.
• Correctif pour Internet Explorer 6 SP1 sur Windows 2003 Server.
• La version Internet Explorer 6 de cette mise à jour doit être installé sur Windows XP avec Internet Explorer 6 (version 6.00.2600.0000).
• La version Internet Explorer 5.5 avec Internet Explorer 5.5 Service Pack 2 (version 5.50.4807.2300) fonctionnant sur Windows 98, 98 Second Edition, Millennium Edition, NT Workstation 4.0 Service Pack 6a, NT Server 4.0 Service Pack 6a, NT Server 4.0 Terminal Server Edition, Service Pack 6 et Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4.
• La version Internet Explorer 5.01 doit, elle, être installée pour Internet Explorer 5.01 Service Pack 4 (version 5.00.3700.1000) sur Windows 2000 SP4, Internet Explorer 5.01 Service Pack 3 (version 5.00.3502.1000) sur Windows 2000 SP3 et Internet Explorer 5.01 Service Pack 2 (version 5.00.3502.1000) sur Windows 2000 SP2.

Des versions de Windows et d'IE non listés précédemment ne sont plus assistés par Microsoft mais certains des correctifs peuvent y être installés. MS n'a pas testé ces versions et évidemment recommande de migrer vers des versions plus récentes.

La version d'IE utilisée est affichée dans la fenêtre appelée par un clic sur « A propos de… » dans le menu « Aide » d'IE.

Ce patch peut être désinstaller par « Ajout/Suppression de programmes » de Windows (Internet Explorer Q824145).

Ce patch peut aussi être obtenu via Windows Update.

Deux failles dans les serveurs IIS

Un autre bulletin d'alerte de cette livraison mensuelle concerne les serveurs IIS de Microsoft. Selon le site d'actualité de la sécurité informatique, Les Nouvelles.net, « le serveur IIS de Microsoft est vulnérable à une prise de contrôle via ses extensions Front Page (une technologie propriétaire, loin de tous standards, dont on peut heureusement fort bien se passer). » Il s'agit de deux vulnérabilités critiques connus comme le dépassement de mémoire tampon (buffer overrun) et DoS (Denial of Service).