Une faille dans Internet Explorer permet d’acceder à vos données, même si vous ne l’utilisez pas

Une faille dans Internet Explorer permet d'acceder à vos données, même si vous ne l'utilisez pas

John Page, un chercheur en sécurité à découvert une faille zero-day dans Internet Explorer. Un pirate peut mener une attaque sur une « XML External Entity » (XEE) en exploitant des fichiers MHT et cela même si vous n’utilisez pas le navigateur historique de Microsoft – il suffit qu’il soit installé sur votre machine.

Contrairement aux navigateurs modernes qui utilisent le format HTML pour archiver des pages web, Internet Explorer utilise le standard MHT. De ce fait, dès qu’un utilisateur de Windows reçoit un fichier MHT par mail, messagerie instantanée ou autre, il est automatiquement ouvert sur Internet Explorer et peut donc être exploité par une personne malintentionnée.

John Page précise : « Cela peut permettre aux attaquants d’exfiltrer potentiellement des fichiers locaux et d’effectuer une reconnaissance à distance sur les fichiers installés localement« . Une intervention de l’utilisateur est toutefois nécessaire, mais le chercheur précise que cela peut très être dissimulé : « les utilisateurs obtiendront une barre d’avertissement de sécurité dans IE et seront invités à activer le contenu bloqué« .

Cette faiblesse peut être exploitée sur Windows 7, 10 et Server 2012 R2. Microsoft a été informé, mais n’est pas décidé a comblé la faille immédiatement. « Nous avons décidé qu’une solution à ce problème serait envisagée dans une future version de ce produit ou service« . Si vous ne souhaitez prendre aucun risque, la solution la plus efficace est de désinstaller Internet Explorer de votre machine.

 Source : ZDnet / lebigdata