Internet Explorer vulnerability / Vulnérabilité dans Microsoft Internet Explorer

[Al-khiyal]

Warning over using Internet Explorer from German government as exploit goes public

January 16, 2010 -- On Friday, in a response to the security hole in several versions of Internet Explorer (IE), the German Federal Office for Information Security (Bundesamt für Sicherheit in der Informationstechnik, BSI) recommended that Internet Explorer users should switch to an alternative browser until a patch for IE has been made available. At the same time the exploit, code-named "Aurora", has appeared as public code on several mailing lists. The Metasploit team have already created a module that implements the exploit in the exploit framework. The BSI says that while running Internet Explorer in "protected mode" and disabling the Active Scripting feature makes attacks less likely to succeed, it doesn't prevent them completely. According to earlier reports, the hole in IE versions 6, 7 and 8 was exploited for a targeted attack against Google, Adobe and numerous other US firms and is believed to have been launched by Chinese cyber spies. The hole, which has now been officially confirmed by Microsoft, allows attackers to inject and execute code on a Windows computer via specially crafted web pages. The attackers reportedly took advantage of this to inject a trojan downloader into compromised computers. The downloader then proceeded to retrieve further modules, including a back door that gave the attackers remote access to the computer over an SSL-encrypted connection. The links to the crafted web pages must have been sent in emails to selected employees of the targeted firms. Microsoft say they are working on a patch and may even release it as an out-of-cycle "emergency patch".

[Al-khiyal]

Vulnérabilité dans Microsoft Internet Explorer

[Al-khiyal]

UK ignores fears over Internet Explorer despite French and German warnings

January 18, 2010 -- The British government and armed forces are to continue their widespread use of the version of Microsoft's Internet Explorer browser that was attacked by Chinese hackers who broke into Google's corporate network – even though both the French and German governments have advised people to stop using it. The Cabinet Office, which oversees the deployment of computers in government, said today that "it doesn't think the issue [of being open to hacking] would be resolved any better by going elsewhere".

But over the weekend the German government advised citizens to stop using any version of Internet Explorer because of the possibility of attacks against it which could compromise the user's computer without their knowledge – and lead to the theft of data or incursions into corporate networks. Today, the French government followed suit, issuing an advisory suggesting that all versions of Internet Explorer, which is included with Windows, are vulnerable to the attack that was used against Google, Adobe and an estimated 30 other western companies, by hackers originating in China. Google said the attacks were used to steal intellectual property and compromise email accounts, and identified Internet Explorer as the weak point that was exploited.

The specific version of the browser known to be vulnerable to the attack mounted on Google is Internet Explorer 6 (IE6), which was first released in 2000 and is standard on Windows XP, which was released in 2001. Despite its age and known weakness to hacking, IE6 is still the most widely used browser in the world, ahead of newer, more secure versions and rivals' alternatives such as the free Firefox, Opera or Safari browsers. IE6 is extensively used by the British government, including UK armed forces: in response to parliamentary questions asked last year by Labour MP and former Cabinet Office minister Tom Watson, the Ministry of Defence, which has 300,000 desktops worldwide (including ships), said it was sticking with IE6, "and at the current time does not have a requirement to move to an updated version". Watson said today: "The government's own advice to businesses and consumers, through its Get Safe Online site that it helps to fund, is to not use IE6. So other than the fact that they aren't taking their own advice, it's preposterous that they wouldn't take this threat seriously. With the added security threat, all departments should certainly ditch IE6 and upgrade."

Microsoft sought to play down the risks of the vulnerability in a blog posting on Sunday, saying that "we are only seeing very limited number of targeted attacks against a small subset of corporations. The attacks that we have seen to date, including public proof-of-concept exploit code, are only effective against Internet Explorer 6." However both the French and German government advisories say that there are weaknesses on newer versions of Internet Explorer on all versions of Windows, including the recently released Windows 7.

[Al-khiyal]

Microsoft announces out-of-band patch for IE exploit

January 20, 2010 -- Microsoft has provided "an advance notification of one out-of-band security bulletin that Microsoft is intending to release on January 21, 2010". In brief, it's going to release a patch for the Internet Explorer vulnerability fingered in the Google/China incident. The vulnerability affects all versions of IE (ie IE6, IE7 and IE8) on all NT-based operating systems (Windows 2000, XP, Vista, Windows 7), so every Windows user who might be affected should install it. The original exploit only worked if people were running IE6 on Windows XP, but now the exploit code has been published, some malware writers will be adapting it for a wider target market. Incidentally, the "out-of-band" designation means it is being issued separately, not as part of Microsoft's monthly roll-up of patches, which are provided to make the process less disruptive for businesses, large corporations and so on. (No doubt all French and German government-owned Windows PCs will have this extremely important patch installed within minutes of its release.) However, Microsoft could also include patches that would otherwise have had to wait until February.

[Al-khiyal]

Microsoft prévoit de diffuser jeudi un remède à une faille d'Explorer

SAN FRANCISCO, Mercredi 20 Janvier 2010 — Le géant des logiciels Microsoft a annoncé qu'il diffuserait jeudi un programme permettant de protéger les ordinateurs contre une faille de son navigateur Internet Explorer 6 (IE 6), apparemment à l'origine d'attaques subies par Google et d'autres sociétés. "Microsoft continue à voir des attaques limitées, et jusqu'à présent les seules à avoir réussi visaient Internet Explorer 6", a expliqué Microsoft mercredi, en recommandant d'installer son remède dès qu'il sera diffusé, sans doute à 18H00 GMT jeudi. Actuellement, les versions ultérieures d'Internet Explorer, IE7 et IE8, "semblent tenir bon", a dit à l'AFP un responsable de la sécurité informatique chez Microsoft, George Stathakopoulos. "Aucune des attaques que nous connaissons ne marcheront contre IE8. Cela pourrait changer, mais c'est ce que nous savons (maintenant)." Microsoft avait confirmé dès la semaine dernière qu'une vulnérabilité sur IE 6 avait été exploitée par les pirates informatiques qui ont conduit Google à menacer le 12 janvier de cesser ses activités en Chine. Pour la société spécialisée dans la sécurité informatique McAfee, la sophistication des attaques visant Google et d'autres sociétés dépasse celle des pirates de droit commun et semble plutôt relever d'un Etat.

[Al-khiyal]

IE7 et IE8 seraient concernés par la faille critique :
Correctif en urgence pour Microsoft

Mercredi 20 Janvier 2010— Deux chercheurs en sécurité estiment qu’il est techniquement possible d’exploiter la faille critique d’Internet Explorer dans ses versions 7 et 8. Microsoft, qui explique que seul IE6 sur Windows XP est affecté, publiera un correctif hors cycle. Mauvaise nouvelle pour Microsoft. L'analyse des attaques contre Google et 33 autres entreprises avaient permis d'identifier une faille critique non corrigée d'Internet Explorer. Selon les premiers rapports de Microsoft, seuls les utilisateurs de la version 6 du navigateur et de Windows XP étaient réellement exposés. La fonctionnalité DEP (Data Execution Prevention) intégrée à IE7 et IE8 devant prévenir l'exploitation de la faille 0-day. Finalement, il semble que le risque soit plus important. Un chercheur en sécurité, Dino Dai Zovi, a en effet développé un code PoC (proof-of-concept) permettant de compromettre une machine exécutant Internet Explorer 7 sur Vista et XP. Dans un message posté sur Twitter, Dino Dai Zovi estime que la protection apportée par le DEP peut être contournée.

La protection DEP d'IE7 et 8 pourrait être contournée

Sur The Register, Dino Dai Zovi considère néanmoins que les préconisations de Microsoft (DEP, ASLR, mode protégé, ...) apportent un niveau de protection significatif contre des attaques ciblées. Le PoC qu'il a mis au point lui permet pour le moment essentiellement de lire des fichiers sensibles, mais pas de modifier les paramètres système. Le chercheur déclare toutefois être proche de parvenir à exécuter des attaques plus puissantes, y compris en exploitant la faille critique dans Internet Explorer 8. La société d'analyse des vulnérabilités Vupen Security a d'ailleurs émis un bulletin de sécurité, succinct (vraisemblablement pour des raisons de sécurité), soulignant la possibilité d'exécuter du code à distance sur un ordinateur doté d'Internet Explorer 8. Interrogé par CNET News, Microsoft explique qu'il étudie actuellement les éléments apportés par Dino Dai Zovi et Vupen Security et la capacité pour un attaquant de bypasser la protection du DEP d'Internet Explorer.

Les alertes de sécurité encouragent le téléchargement de Firefox et Opera

Pour le moment, Microsoft recommande toujours aux utilisateurs d'IE6 et de Windows XP de migrer vers des versions plus récentes de son navigateur et de son système d'exploitation Windows. Les agences de sécurité française, allemande et désormais australienne recommandent elles d'adopter un navigateur alternatif, une position que la firme de Redmond qualifie d'excessive. Pour autant, Microsoft prend la menace au sérieux et a publié un billet sur son blog sécurité pour annoncer qu'il diffuserait un correctif en dehors de son cycle habituel. La faille critique d'Internet Explorer devrait ainsi être corrigée avant son patch day du mois de février. Microsoft s'efforce de rassurer les utilisateurs de ses applications. Son image, déjà écornée par différents incidents de sécurité, risque en effet de pâtir de la divulgation de cette nouvelle faille et de sa médiatisation dans les journaux et à la télévision (un média de grande écoute). Les navigateurs alternatifs, comme Firefox et Opera, pourraient bien profiter directement de cette mauvaise publicité. D'après des statistiques recueillies par The Register, le nombre de téléchargements d'Opera et Firefox aurait significativement augmenté au cours des derniers jours. En France, Firefox bénéficierait également de l'alerte de sécurité émise par le Certa.

[Al-khiyal]

Microsoft s’explique la vulnérabilité d'Internet Explorer

Mercredi 20 Janvier 2010 -- Microsoft devrait publier un patch ou correctif si vous préférez assez rapidement afin de colmater la faille 0 Day (exploitée) présente sur le navigateur Internet Explorer, faille qui peut permettre l'exécution de code à distance. Microsoft s’explique sur cette faille sur son site Internet dans la rubrique protection. L’article propose une synthèse pour les utilisateurs des systèmes d’exploitation Windows XP, Windows Vista, ou Windows 7 sur les navigateurs concernés, navigateurs ayant servi à effectuer des attaques contre Google et d'autres grandes entreprises. Sont concernés par cette faille les navigateurs Internet Explorer 6, Internet Explorer 7 et Internet Explorer 8 sur les systèmes d’exploitation Windows XP, Windows Vista, et Windows 7, mais sous certaines conditions.

A ce jour, Microsoft a connaissance d'attaques limitées tentant d'utiliser cette vulnérabilité contre Internet Explorer 6. Microsoft n'a pas connaissance d'attaques contre les autres versions affectées d'Internet Explorer. Microsoft recommande donc vivement de migrer vers la version d’Internet Explorer 8 et surtout pour Windows XP d’avoir le service pack 3, et l’ensemble des derniers correctifs pour tous les systèmes d’exploitation. Il faut savoir que vous êtes encore plus de 6% à visiter le site avec une version d’Internet Explorer 6 (version qui n’est plus prise en compte pour la création des pages PHP) et surtout près de 1% à surfer avec Windows 95, 98, Me et 2000. Pour connaître la version de votre navigateur, dans le menu cliquez sur le « ? » et sélectionnez « À propos de Internet Explorer ».

Microsoft a par ailleurs publié un tableau qui indique la potentialité d’une attaque en fonction des versions d'Internet Explorer et des systèmes d’exploitation Windows. (Le lien pour accéder à la page d’explications et au tableau). Et surtout, surfez couvert avec un antivirus à jour et efficace (à ne pas confondre avec les logiciels qui se contentent seulement de scanner votre disque dur) et bien sur ne visitez pas des sites « à la con » et ne cliquez pas sur les liens dans les mails que vous recevez dont vous ne connaissez pas la provenance.