Internet Explorer : une faille exploitée par la touche F1

Publié le 3 Mars 2010

Internet Explorer : une faille exploitée par la touche F1
 Une faille vieille de trois ans a refait surface fin février. Maurycy Prodeus, chercheur en sécurité informatique à l'ISEC, avait déjà prévenu Microsoft de cet incident en février 2007, voilà qu'il annonce le "zéro Day" publiquement sur Internet, pour l'instant aucune attaque n'a été rapportée mais le risque existe.

 La vulnérabilité concerne Internet Explorer version 6, 7 et 8 sous Wondows XP, les autres versions du système, Vista et Windows 7, sont épargnés par la faille. C'est le module winhlp32.exe qui est en cause, un pirate informatique pourrait, en exploitant la fonction MsgBox() du langage VBScript, déclencher l'affichage d'une boîte de dialogue, lors de la visite d'un site piégé, qui incitera l'utilisateur à appuyer sur la touche F1, affiche le fichier d'aide d'un logiciel, pour compromettre un ordinateur.
Autres constations, l'existence d'un débordement de mémoire (stack overflow) dans le fichier.

 Voici une démonstration (inoffensive) qui montre l'exploitation de la faille.

 Microsoft a publié sur son blog une alerte de sécurité dans l'attente de mettre au point un correctif. La firme de Redmond rappelle que les fichiers Windows Help Files (.hlp) font partie de la liste des fichiers non sûrs comme les fichiers exécutables (.exe), les fichiers de commandes (.cmd, .bat) ou les fichiers scripts (.vbs, .js) car ils sont conçus pour faire appel à des actions automatiques lors d'une utilisation normale.

 La société Secunia a confirmé l'existence de la vulnérabilité, jugée comme moyenne.

Article similaire
- Firefox : Faille très critique pour le navigateur
- Internet Explorer : Deux failles en deux mois

Complément d'information
- Les différents types de malwares
- Comment faire les mises à jour du système

Rédigé par DarkNight

Publié dans #Navigateur

Repost 0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article