Une faille de sécurité touchant toutes les versions d'Internet Explorer depuis sa version 6 (y compris la version 8) et tout système d'exploitation confondu, a conduit le BSI allemand et le CERTA français à recommander d'éviter d'utiliser temporairement Internet Explorer.
Cette faille de sécurité permettant d'exécuter du code arbitraire à distance, a été utilisée dans plusieurs attaques récentes (notamment semble-t-il les attaques visant Google en Chine). Il est à craindre que celle-ci soit utilisée dans d'autres attaques d'envergure vu le large nombre de machines utilisant Internet Explorer. De nombreux exemples de code circulent déjà.
Le communiqué du CERTA peut être consulté pour plus de détails ainsi que le communiqué du BSI.
Outre quelques règles de prudence générales, comme ne pas surfer sur Internet en tant que root ou "Administrateur", et ne pas cliquer n'importe où (et ce quelque soit votre navigateur), ces organismes recommandent particulièrement d'utiliser un navigateur alternatif (tel que Firefox, Opéra,...).
Commentaires
C'est rigolo que "Google" utilise "ie" au lieu de "chrome" !
Google n'utilise pas IE, ce sont les utilisateur de gmail, qui était visé par les assaillants, et autres services de Google, qui le font (pas tous, bien évidement). Google recommande aussi à ses utilisateurs IE d'utiliser autre chose, Google Chrome en tête de liste.
Pour ce qui est du compte administrateur, faudra déjà attendre qu'il y en ai un vrai sur Windows. Quand je vois qu'il suffit d'aller dans le menu contextuel, sur windows 7, pour lancer des trucs en administrateur sans même avoir à taper un mot de passe, je... je reste sans voix.
Ben ça alors? Déjà que IE respecte pas les recommandations sur les standards, si en plus y'a des trous : mdr...
Il y a TOUJOURS des failles de sécurité dans des logiciels aussi complexes et «ouverts» sur l'extérieur comme les navigateurs web. Le tout est de limiter leur impact, et de les corriger rapidement. Ici, la recommandation ne vient pas de la simple présence d'une faille (sinon ils recommanderaient de ne pas utiliser de navigateur web…), mais du fait que cette faille semble déjà très exploitée.
Une simple faille surmédiatisée : http://tinyurl.com/ienique
Je pense que tous les utilisateurs de Firefox, Opera, Safari, Netscape ou Chrome voient ici une occasion de dire :
« hey, toi qui utilise IE, tu vois ce qu'il est nul !! »
Je ne suis pas le dernier à vanté et défendre Firefox mais j'aimerai apporter un peu de recul sur cette news.
Microsoft joue sur les nuances, s'il ne se contredit pas carrément, en disant que cela ne touche qu'Internet Explorer 6 puisque leur propre bulletin de sécurité (source: http://www.microsoft.com/technet/security/adv... précise qu'ils n'ont eu connaissance d'attaques que sur Internet Explorer 6, mais il précise également que cette faille est existante sur Internet Explorer 7 et Internet Explorer 8.
Concernant Internet Explorer 8, il semblerait que l'exploitation de cette faille soit moins dangereuse pour autant que le DEP (Data Execution Protection) soit resté activé (ce qui est le cas par défaut).
Microsoft est surtout mal à l'aise car dans peu de temps, lors du premier lancement d'un Windows fraîchement installé, les utilisateurs devront choisir leur navigateur. Il est logique que leur Marketing fasse tout pour minimiser l'importance de cette faille.
Certes, aucun navigateur n'est à l'abri d'une faille de sécurité, mais Microsoft a intérêt à publier un correctif très rapidement (première étape) et de s'assurer que les utilisateurs fassent la mise à jour (ce qui est encore une autre affaire...).
Ceci dit, cette faille est connue depuis le 14 janvier (soit 5 jours), et il n'y a toujours aucun correctif publié. Je suis prêt à parier que la correction d'une faille identique sous un navigateur libre prendrait moins de temps.
Bref, je ne suis pas certain que l'on en sera quitte si vite dans le cas présent...
Ceci dit, je ne m'appelle pas Madame Irma, on verra bien la suite de l'histoire !
[url=http://www.microsoft.com/windows/internet-explorer/get-the-facts/browser-comparison.aspx]lol[/url]
@ Nolem :
lol ^^
C'est toujours aussi rigolo, ce "tableau" de comparaison. Il est totalement faux et biaisé :p
Quels clowns, ces employés de Microsoft :)
mon update auto m'a fait tout un tas de mises à jours "importantes" il y a quelques jours, savez vous si la brèche est comblée ?