Bulletin de sécurité de Microsoft MS10-002 - Critique

Numéro : AL10-001
Date : 21 janvier 2010

Objet

Cette alerte a pour objet d’informer les responsables des systèmes que Microsoft a diffusé un correctif critique à l’extérieur du cycle mensuel de correction habituel dans le but de rectifier une vulnérabilité dans Internet Explorer récemment rendue publique et ayant été exploitée pour effectuer plusieurs attaques ciblées par l’intermédiaire d’Internet.

Évaluation

Une vulnérabilité du navigateur Internet Explorer permet l’exécution de code à distance par l’exploitation d’une référence à un pointeur invalide d’Internet Explorer. Dans certaines conditions, l’accès à un pointeur invalide est possible après la suppression d’un objet. Dans une attaque spécifiquement calibrée où on essaie d’avoir accès à un objet libéré, Internet Explorer peut permettre l’exécution de code à distance.

Microsoft a signalé être au courant d’attaques ciblées qui tentent d’exploiter cette vulnérabilité. Un attaquant peut par exemple héberger un site Web créé spécialement pour exploiter cette vulnérabilité d’Internet Explorer, ou encore tirer parti de sites Web compromis et de sites Web qui acceptent ou qui hébergent des publicités ou du contenu fourni par les utilisateurs. Dans ces deux scénarios, l’attaquant doit convaincre l’utilisateur de visiter le site Web en question, habituellement par un hyperlien au site Web se trouvant dans un courriel ou dans un message Instant Messenger.

Les systèmes auxquels on n’applique pas ce correctif sont susceptibles d’être vite exploités; une menace imminente pèse donc sur les systèmes non corrigés.

Le correctif de sécurité diffusé aujourd’hui par Microsoft est jugé critique pour toutes les versions supportées d’Internet Explorer : Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1, Internet Explorer 7, et Internet Explorer 8. Pour éliminer cette vulnérabilité, le correctif de sécurité diffusé modifie les méthodes qu’utilise Internet Explorer pour gérer les objets en mémoire, valider les paramètres d’entrée et interpréter les attributs HTML.

Mesure suggérée

Le CCRIC recommande fortement aux ministères de considérer prioritaires la mise à l’essai puis le déploiement de ce correctif d’urgence.

Documents de référence

Bulletin de sécurité Microsoft MS10-002
Mise à jour de sécurité cumulative pour Internet Explorer (978207)
http://www.microsoft.com/technet/security/bulletin/MS10-002.mspx     

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca