dimanche 5 novembre 2006

Vulnérabilité critique non corrigée dans Windows

Utilisateurs de Windows XP, 2000 et 2003 faites gaffe !

Une nouvelle faille de sécurité viens d'être publiée hier par le site Secuser.com.

Il est question cette fois d'une erreur dans le contrôle ActiveX XMLHTTP 4.0, si exploitée, elle permettra à une personne malveillante de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement à l'ouverture d'une page web ou d'un email piégé.

En attendant la publication d'un correctif officiel, les utilisateurs concernés peuvent appliquer les mesures suivantes afin de réduire les risques d'exploitation malveillante :
  • Se montrer particulièrement vigilant dans son utilisation d'Internet, notamment vis-à-vis des fichiers douteux, des liens hypertextes non sollicités ou des sites web non reconnus comme sûrs ;
  • Désactiver l'option "Active scripting" dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer, en ajoutant si nécessaire les sites sûrs habituellement consultés dans la zone "Sites de confiance" (afin d'éviter que la désactivation de cette option ne perturbe leur affichage ou leur fonctionnement) ;
  • Tenir à jour son antivirus. Les éditeurs ont déjà ou vont bientôt publier de nouvelles signatures pour tenter de reconnaître et d'intercepter les fichiers malicieux exploitant cette faille ;
  • Configurer son logiciel de messagerie pour utiliser les paramètres de sécurité les plus élevés (menu Outils > Options > onglet Sécurité > sélectionner "Zone sites sensibles" dans Outlook Express ou Outlook) et afficher les messages reçus au format texte plutôt que HTML (menu Outils > Options > onglet Lecture > cocher "Lire tous les messages en texte clair" dans Outlook Express ou Outils > Options > onglet Préférences > bouton Options de la messagerie > cocher "Lire tous les messages standard au format texte brut" dans Outlook).

2 commentaires:

Yahia a dit…

Utilisateurs de Windows concernés?
Je le suis personnellement, mais je ne serais point vulnérable à ce "bug" puisque je n'utilise pas IE. Sérieusement...

Nabil a dit…

Très heureux pour toi Yahia ;-)

Mais cela n'exclut pas que tu peux recevoir un lien ou un raccourcis vers un site piégé, et peu être configuré pour être ouvert par IE ...

Un peu de prévention ne fera de mal à personne :-)

Passion Technologeek