Microsoft vient de publier un nouveau bulletin relatif à une faille découverte dans plusieurs versions de Windows. La fiche d’informations fait suite à plusieurs rapports publics, signifiant que les détails de l’exploitation de la faille sont déjà entre les mains des auteurs de malwares en tous genres.
La vulnérabilité réside dans la manière dont MHTML interprète les requêtes MIME pour des blocs de contenu dans un document, ou plus généralement une page web. Microsoft indique que dans certaines conditions, il est possible que cette faille permette à un utilisateur malveillant d’injecter un script côté client en réponse à une requête Web formée depuis Internet Explorer. Le script peut alors révéler des informations sensibles et effectuer sur la page toutes les actions que pourrait entreprendre l’utilisateur.
MHTML est un format de fichier ouvert et normalisé par l’IETF (Internet Engineering Task Force) et qui permet de créer un fichier HTML contenant tous les éléments externes de cette page, au format MIME. Ce dernier, signifiant Multipurpose Internet Mail Extensions, a été créé pour que puissent transiter par email l’ensemble des données non-textuelles.
Cela signifie donc que le problème réside dans Internet Explorer, et non pas dans les formats de données proprement dits. Microsoft indique travailler avec l’ensemble des partenaires MAPP (Microsoft Active Protections Program) pour que l’information transite vers les clients, ainsi qu’avec les fournisseurs d’accès pour créer des protections côté serveurs. Toutefois, l’éditeur engage également les internautes à mettre en place quelques mesures pour se prémunir.
Certains facteurs limitent l’efficacité de l’exploitation de la faille :
- Internet Explorer sur Windows Server 2003, 2008 et 2008 R2, s’exécute en mode limité
- Toutes les versions supportées d’Outlook, Outlook Express et Windows Mail ouvrent les emails en HTML en zone « Sites limités », ce qui désactive les scripts. Il reste tout de même la possibilité de cliquer sur le lien pour mener vers une attaque basée sur le web.
- L’attaque via le web demande que l’utilisateur vienne à cliquer sur un lien spécialement conçu pour débuter l’attaque.
Microsoft suggère essentiellement deux mesures :
- Passer les zones de sécurité Internet et Intranet local à « Élevé » pour les contrôles ActiveX et Active Scripting
- Configurer Internet Explorer pour toujours demander la permission avant d’exécuter un contenu Active Scripting, ou désactiver complètement ce dernier (Menu Outils, Options Internet, onglet sécurité, Internet puis Niveau personnalisé, sous Paramètres, section Scripting, sous Active Scripting, cliquer sur Demander ou Désactiver, même opération pour Intranet local).
Il reste bien entendu la solution encore plus simple d’utiliser un autre navigateur. Prudence en tout cas en attendant la mise à jour correspondante.
Toutes les éditions supportées de Windows sont touchées :
- Windows XP, Service Pack 3 inclus
- Vista, Service Pack 2 inclus, 32 et 64 bits
- Windows 7, 32 et 64 bits
- Windows Server 2003, Service Pack 2 inclus, 32 et 64 bits (x64 et IA64)
- Windows Server 2008, Service Pack 2 inclus, 32 et 64 bits (x64 et IA64)
- Windows Server 2008 R2, 32 et 64 bits (x64 et IA64)