pascals.blog : Internet Explorer

IE8, le retour

pascals — Fri, 20 Mar 2009 23:38:21 GMT

A force d’utiliser Windows 7 tous les jours, on oublierait presque les Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008, qui peuvent depuis hier recevoir la version finale d’Internet Explorer 8 :

http://www.microsoft.com/ie8 (le site français n’est pas encore à jour)

Qu’est-ce qu’IE8 apporte aujourd’hui en terme de sécurité ? Jetez un œil sur l’article du blog IE : un tableau y résume parfaitement la liste des améliorations. Voici ma traduction littérale de la liste en question…

Protection contre les malware. Prévention de l’installation de logiciel malveillant.
Filtre contre les Cross-Site Scripting. Protection contre les attaques de sites web.
Isolation des onglet et récupération automatique après plantage. Continuer à naviguer même si une page ou un contrôle plante.
Mise en valeur du nom de domaine dans la barre d’adresse. Il est facile de voir sur quel site vous êtes réellement.
InPrivate Filtering. Protéger votre vie privée en contrôlant les traces de votre activité.
Suppression d'adresses dans l'historique de la barre d'adresse. Encore plus de protection pour la vie privée.
Protection des paramètres de recherche. Votre fournisseur de recherche reste celui que vous avez choisi.
Protection contre le Clickjacking. Protection contre une classe d’exploits impliquant des redirection de clics.
ActiveX par Utilisateur/Site. Protection supplémentaire contre des contrôles ActiveX détournés de leur usage.
DEP/NX. Protection contre une classe d’exploits en mémoire.
Mashups plus sécurisés pour les développeurs, avec de nouvelles fonctions et le support de nouveaux mécanismes standards (ToStaticHTML(), XDomainRequest ; Support JSON natif, postMessage()).

Je n’ai pas encore cherché d’informations sur la disponibilité d’IE8 dans Windows Update et pour WSUS, mais j’y reviendrai dès que possible.

Questions pièges : quel impact sur votre processus de patch management ? Quelles sont les versions d’Internet Explorer supportées à ce jour par OS et jusqu’à quelles dates ? La réponse bientôt. En attendant, passez plutôt un bon week-end !

Bulletin de sécurité MS08-078

pascals — Wed, 17 Dec 2008 21:34:54 GMT

Le bulletin de sécurité hors cycle pour Internet Explorer vient d’être publié :

MS08-078 - Mise à jour de sécurité pour Internet Explorer (960714)

Notez que cette mise à jour n’est pas cumulative. Extrait de la FAQ du bulletin :

Est-ce une mise à jour cumulative pour Internet Explorer ?

Non. Cette mise à jour de sécurité hors cycle n'est pas cumulative. Pour être protégés, nos clients devrait appliquer cette mise à jour après avoir appliqué la mise à jour de sécurité cumulative pour Internet Explorer la plus récente. Cette mise à jour MS08-078 sera incluse dans une mise à jour de sécurité cumulative pour Internet Explorer future.

Au cas où vous vous poseriez la question, oui, cette vulnérabilité est exploitée depuis un certain temps : http://isc.sans.org/diary.html?storyid=5515.

Patchez !

Bulletin de sécurité hors cycle du 17 décembre

pascals — Wed, 17 Dec 2008 15:26:17 GMT

Ce soir vers 19h sera publié un bulletin de sécurité hors cycle concernant Internet Explorer. Le préavis est publié en français et en anglais.

Voir également l’annonce du MSRC.

La vulnérabilité est critique et concerne toutes les versions supportées d’Internet Explorer sur toutes les versions supportées Windows, c’est à dire :

Windows 2000 SP4
Windows XP SP2
Windows XP SP3
Windows Server 2003 SP1
Windows Server 2003 SP2
Windows Vista
Windows Vista SP1
Windows Server 2008

Des informations sur la vulnérabilité sont disponibles dans l’avis 961051 et l’article de la base de connaissance 961051.

Sécurité d'Internet Explorer 8

pascals — Tue, 08 Jul 2008 11:16:36 GMT

De nos jours et sans doute pour un moment encore, le navigateur Internet est l'application la plus utilisée, la plus exposée, et la plus attaquée. Voici un résumé des améliorations de sécurités d'Internet Explorer 8, prochaine version du navigateur pour Windows, publiées sur le blog de l'équipe Internet Explorer.

Protection de la mémoire DEP/NX - cette option alors n'était pas activée par défaut dans IE7 pour des raisons de compatibilité, principalement avec des add-ons développés avec une ancienne version de la librairie ATL. Ces problèmes étant résolus, DEP sera actif par défaut dans IE8.

Améliorations ActiveX - ActiveX non-admin : dans IE8 sous Windows Vista, un utilisateur standard pourra installer un ActiveX dans son profil utilisateur, ce qui permettra plus de souplesse et plus de sécurité pour le système. L'ActiveX Opt-in d'IE7 est conservé (contrôle de l'exécution d'ActiveX du système). ActiveX par site : permet de contrôler quel site a le droit d'exécuter un ActiveX donné. Pour finir : DEP, Killbits, amélioration de la gestion des add-ons.

Filtre SmartScreen - évolution du filtre anti-fishing d'IE7, avec les améliorations suivantes : interface utilisateur améliorée, performances améliorées, nouvelles heuristiques et télémétrie, support d'anti-malware, stratégies de groupes améliorées.

Filtre XSS - contre les Cross-Site Scripting les plus répandus, les types 1 (non persistants).

Encore plus de détails et de nouveautés dans le dernier article.

PS - N'oubliez-pas, ce soir, les patches du mois !

Analyse des vulnérabilités d'Internet Explorer et de Firefox

pascals — Sat, 01 Dec 2007 17:21:59 GMT

Jeff Jones vient de publier une très intéressante analyse des vulnérabilités d'Internet Explorer et de Firefox (PDF en anglais). Je laisse le lecteur juge de tirer ses propres conclusions de ce rapport, mais je souhaiterais développer un peu l'importance du sujet.

Quels sont les vecteurs d'attaques les plus fréquents aujourd'hui pour les PC personnels ? Pour simplifier, l'objectif actuel des attaquants est d'installer sur les PC personnels des bots / chevaux de Troie / backdoors, de façon à les contrôler et les utiliser dans des actions de masse : déni de service distribué, envoi de spam, installation de spyware, adware, vol d'informations personnelles, etc. Pour ce faire, le plus simple aujourd'hui est d'exploiter l'application la plus utilisée et la plus exposée : le navigateur internet - Internet Explorer ou Mozilla Firefox. Voici quelques moyens couramment utilisés pour cela :

Envoi de spam avec un lien vers une page web contenant un exploit.
Inclusion d'exploits ou de liens dans des commentaires ou publicités dans les sites sociaux, blogs, forums, wikis, etc.
Envoi de liens par messagerie instantanée.

Prudence donc, et suivez ces quelques conseils de base :

Maintenez votre système et votre navigateur à jour des correctifs de sécurité.
N'utilisez pas un compte avec des privilèges d'administrateur pour naviguer sur Internet, lire vos mails ou discuter en ligne.
Ne cliquez pas sur tous les liens que l'on vous propose par mail ou par Messenger.
Utilisez un anti-virus et un anti-spyware à jour.

Aujourd'hui, Internet Explorer 7 sous Windows Vista reste le moyen le plus sûr d'accéder à Internet, grâce à son mode protégé. Firefox n'utilise pas cette fonctionnalité de Windows Vista, pour l'instant, mais il est possible de le configurer manuellement.