Microsoft vient de confirmer la présence d'une faille de sécurité sur Internet Explorer 6, 7 et 8 touchant les utilisateurs de Windows XP. Découverte il y a 3 ans, Microsoft recherche toujours les causes d'un tel bug. Le problème vient de Winhlp32, application permettant d'afficher une aide au format .hlp.

Il suffit pour l'attaquant de disposer sur une page internet un script VBScript incitant l'utilisateur à appuyer sur la touche F1 afin de charger un fichier d'aide malicieux.

Windows Vista ainsi que Windows 7 ne sont pas concernés par cette faille de sécurité. La firme de Redmond profite du bulletin de sécurité pour rappeler que les fichiers .hlp font partie de la liste des fichiers déclarés comme non sûrs, tout comme les fichiers .exe, .bat...

En attendant la mise en ligne d'un correctif, il est conseillé de bloquer le port TCP 445 et de ne pas appeler l'aide Internet Explorer si on vous le demande via un pop-up. Une démonstration sans danger est disponible.

Ressources :

• Bulletin de sécurité Microsoft
• Liste des types de fichiers considérés comme non sûrs
• Tester la faille sans danger

Commentaires | Imprimer | Ajouter à :

• 10/02/2010 - Microsoft update février 2010
• 13/01/2010 - Microsoft update janvier 2010
• 09/12/2009 - Microsoft update décembre 2009
• 11/11/2009 - Microsoft update novembre 2009
• 10/11/2009 - ZoneAlarm Pro 2010 : téléchargement gratuit pendant 24h
• 09/11/2009 - Cofee, la clé USB espion, s'échappe sur la toile !
• 30/09/2009 - Security Essentials : l'antivirus de Microsoft est disponible
• 28/08/2009 - Le protocole WPA cracké en 1 minute
• 12/08/2009 - Microsoft update août 2009
• 16/07/2009 - Microsoft update juillet 2009