News : Sécurité : Faille de sécurité 0-day détectée dans IE

par **Sebastien** » Sam Jan 16, 2010 7:23 pm

Les messages contenus dans ce sujet correspondent aux commentaires d'un article disponible sur le site.
Adresse de l'article : http://www.astucesinternet.com/modules/news/article.php?storyid=393

Résumé de l'article :

Une faille de sécurité a été découverte dans Internet Explorer, le navigateur internet de Microsoft. Cette faille, qui a été reportée en tant que faille 0-day, touche les versions 6, 7 et 8 du navigateur.

En cas d'exploitation réussie, un utilisateur malveillant pourrait exécuter des commandes sur votre ordinateur et en prendre le contrôle à distance. Actuellement, il n'y a pas de correctif pour cette faille qui ne nécessite aucune interaction avec l'utilisateur pour être exploitée. Cela signifie qu'une page Web ou un Email (volontairement modifiée) peuvent vous rendre vulnérable.

En attendant le correctif de la faille, il est recommandé d'utiliser un autre navigateur internet. Pour les personnes ne pouvant pas changer de navigateur, Microsoft a publié plusieurs recommandations permettant de limiter l'impact de la faille :

* Mettre les paramètres de sécurité d'IE au niveau élevé
* Désactiver Active Scripting
* Activer la fonction Data Execution Protection (DEP) dans le navigateur.

par **Sebastien** » Sam Jan 16, 2010 7:29 pm

Mettre les paramètres de sécurité d'IE au niveau élevé.

Set Internet and Local intranet security zone settings to "High" to prompt before running ActiveX Controls and Active Scripting in these zones

You can help protect against exploitation of this vulnerability by changing your settings for the Internet security zone to prompt before running ActiveX controls and Active Scripting. You can do this by setting your browser security to High.

To raise the browsing security level in Internet Explorer, follow these steps:
1.On the Internet Explorer Tools menu, click Internet Options.
2.In the Internet Options dialog box, click the Security tab, and then click the Internet icon.
3.Under Security level for this zone, move the slider to High. This sets the security level for all Web sites you visit to High.

Comment mettre le niveau de sécurité sur "élevé" :
1 : Dans le menu Outils d'IE, cliquez sur Options Internet.
2 : Dans l'onglet Sécurité, cliquez sur l'icône Internet.
3 : Dans le cadre intitulé " Niveau de sécurité pour cette Zone", sélectionnez "Haute".

par **Sebastien** » Sam Jan 16, 2010 7:50 pm

Comment désactiver Active Scripting ?

Configure Internet Explorer to prompt before running Active Scripting or to disable Active Scripting in the Internet and Local intranet security zone

You can help protect against exploitation of this vulnerability by changing your settings to prompt before running Active Scripting or to disable Active Scripting in the Internet and Local intranet security zone. To do this, follow these steps:

1.In Internet Explorer, click Internet Options on the Tools menu.
2.Click the Security tab.
3.Click Internet, and then click Custom Level.
4.Under Settings, in the Scripting section, under Active Scripting, click Prompt or Disable, and then click OK.
5.Click Local intranet, and then click Custom Level.
6.Under Settings, in the Scripting section, under Active Scripting, click Prompt or Disable, and then click OK.
7.Click OK two times to return to Internet Explorer.

Note Disabling Active Scripting in the Internet and Local intranet security zones may cause some Web sites to work incorrectly. If you have difficulty using a Web site after you change this setting, and you are sure the site is safe to use, you can add that site to your list of trusted sites. This will allow the site to work correctly.

1 : Dans le menu Outils d'IE, cliquez sur Options Internet.
2 : Ouvrez l'onglet Sécurité.
3 : Cliquez sur l'icône Internet puis sur Personnaliser le niveau.
4 : Dans la rubrique Script, sous-rubrique Active Scripting, mettre l'option Demander ou Désactivé.
5 : Cliquez sur l'icône Intranet local puis sur Personnaliser le niveau.
6 : Dans la rubrique Script, sous-rubrique Active Scripting, mettre l'option Demander ou Désactivé.
7 : Cliquez sur OK / oui (une confirmation sera demandée) pour valider les modifications.

par **Sebastien** » Sam Jan 16, 2010 7:57 pm

Comment activer la fonction DEP dans IE6 et IE7 (la fonction est activée par défaut dans IE8) ?

Enable DEP for Internet Explorer 6 Service Pack 2 or Internet Explorer 7

This vulnerability is more difficult to exploit successfully if Data Execution Protection (DEP) is enabled for Internet Explorer. You can enable DEP for all versions of Internet Explorer that support DEP, using one of the following methods:

Enable DEP for Internet Explorer 7 interactively
Local Administrators can control DEP/NX by running Internet Explorer as an Administrator. To enable DEP, perform the following steps:
1.In Internet Explorer, click Tools, click Internet Options, and then click Advanced.
2.Click Enable memory protection to help mitigate online attacks.

1 : Dans le menu Outils d'IE, cliquez sur Options Internet. Ouvrez l'onglet Avancé.
2 : Cochez Activer la protection mémoire pour contribuer à atténuer les attaques en ligne.

News : Sécurité : Faille de sécurité 0-day détectée dans IE

News : Sécurité : Faille de sécurité 0-day détectée dans IE

Re: News : Sécurité : Faille de sécurité 0-day détectée dans IE

Re: News : Sécurité : Faille de sécurité 0-day détectée dans IE

Re: News : Sécurité : Faille de sécurité 0-day détectée dans IE

Qui est en ligne