Vulnérabilité dans Microsoft Internet Explorer 8
le 13 mai 2013
Une vulnérabilité a été découverte dans Microsoft Internet Explorer 8. Elle permet une exécution de code arbitraire à distance au moyen d'une page Web spécialement conçue.
Les versions 6, 7, 9 et 10 de Microsoft Internet Explorer ne sont pas affectées par cette vulnérabilité.
Voici les recommandations pour contourner cette faille en attendant de la publication du correctif définitif :
- appliquer le correctif provisoire (fix) publié par Microsoft sur les navigateurs Internet Explorer à jour de leurs derniers correctifs afin de bloquer la majorité des attaques connues ;
- installer et configurer l’outil de sécurité EMET sur les applications sensibles (dont Microsoft Internet Explorer) afin de limiter les risques connus d’exploitation ;
- utiliser Microsoft Internet Explorer 9 ou supérieur qui ne sont pas concernés par cette vulnérabilité ;
- utiliser un navigateur alternatif maintenu et tenu à jour par son éditeur.
Dans le cas où une des mesures précédentes est appliquée, il est recommandé de vérifier le bon fonctionnement avec les applications critiques utilisées.
Risque
- exécution de code arbitraire à distance.
Systèmes affectés
- Internet Explorer 8.
Documentation
- Bulletin d'actualité CERTA-2012-ACT-038 : www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-038/
- Bulletin de sécurité Microsoft Microsoft Security Advisory (2847140) du 03 mai 2013 : technet.microsoft.com/en-us/security/advisory/2847140
- Référence CVE CVE-2013-1347 : cve.mitre.org/cgi-bin/cvename.cgi
- Outil de réduction des risques liés aux exploitations EMET : www.microsoft.com/en-us/download/details.aspx
- Bulletin d'alerte du CERTA : www.certa.ssi.gouv.fr/site/CERTA-2013-ALE-003
