fermer
Navigateurs Web

Internet Explorer continue de menacer les utilisateurs de PC avec un exploit 0-day

Internet Explorer continue de menacer les utilisateurs de PC avec un exploit 0-day

Microsoft a déjà jeté l’éponge sur son navigateur Web et a décidé de baser son navigateur Microsoft Edge sur Chromium. Et, outre cette décision symbolique, il semble que Microsoft est pressée de laisser derrière elle son passé. Peut-être même trop vite.

S’il est peut-être aujourd’hui pratiquement mort avec moins de 10 % du marché des navigateurs, un exploit zero-day récemment révélé continue de mettre les utilisateurs en danger en raison de la position unique d’Internet Explorer. Et, Microsoft affirme ne pas être pressée de corriger cela.

L’exploit tourne autour d’un format de fichier que très peu de personnes se souviennent probablement maintenant. Il s’agit d’un .mht et est le format spécial que Microsoft utilisait jadis pour enregistrer des pages Web dans Internet Explorer. De nos jours, les pages Web sont enregistrées en tant que fichiers HTML appropriés et standard, mais les navigateurs, comme IE, conservent la possibilité de les ouvrir.

Les fichiers .mht ont deux propriétés spéciales. La première est qu’ils s’ouvrent automatiquement dans Internet Explorer. L’autre, selon le chercheur en sécurité John Page, est qu’un fichier .mht spécialement conçu peut permettre aux agents distants (hackers) d’accéder aux fichiers locaux simplement en ouvrant le fichier. Vous pouvez même désactiver les avertissements relatifs aux objets ActiveX (une autre technologie préhistorique) ou nécessitant une interaction de l’utilisateur.

Un bug qui sera corrigé… plus tard

Cette vulnérabilité concerne Internet Explorer 11 sur Windows 7, Windows 10 et Windows Server 2012 R2, et John Page a signalé l’exploit à la fin du mois dernier. Cependant, Microsoft a répondu en mentionnant qu’elle ne résoudrait pas le bug immédiatement et qu’elle l’envisagerait à l’avenir. Vous pensez peut-être que ce n’est pas un gros problème étant donné le nombre limité d’utilisateurs d’IE, mais ce n’est pas tout à fait pertinent dans ce cas.

D’une part, certaines entreprises l’utilisent encore pour sa compatibilité avec les technologies que Microsoft les contraint à utiliser depuis des décennies. D’autre part, Internet Explorer est toujours installé, parfois même pré installé, sur tous les systèmes Windows. Tout ce qu’il faut, c’est qu’un utilisateur clique deux fois sur un fichier .mht, quel que soit le but recherché, le reste étant entre les mains de hackers.

Tags : IEinternet explorerMicrosoft
Yohann Poiron

The author Yohann Poiron

J’ai fondé le BlogNT en 2010. Autodidacte en matière de développement de sites en PHP, j’ai toujours poussé ma curiosité sur les sujets et les actualités du Web. Je suis actuellement engagé en tant qu’architecte interopérabilité.