Commentaires : Internet Explorer a une faille critique qui ne sera pas corrigée pour

sécurité
microsoft
windows
windowsxp
internetexplorer
Tags: #<Tag:0x00007f920b1d0138> #<Tag:0x00007f920b1d7f00> #<Tag:0x00007f920b1d7938> #<Tag:0x00007f920b1d7410> #<Tag:0x00007f920b1d72d0>

#1


La fin du support, c'est la fin du support, et Microsoft ne devrait pas changer d'avis. Alors que la firme de Redmond a mis fin le 8 avril dernier au service qui permet de bénéficier des mises à jour de sécurité pour Windows XP, Microsoft a annoncé qu'une faille critique avait été détectée sur toutes les versions d'Internet Explorer (6 à 11), qui permet aux hackers de prendre le contrôle de l'ordinateur en ayant tous les droits d'administrateur. La faille est exploitable depuis une page web, ce qui rend vulnérable tous les internautes qui visitent une page ainsi vérolée.

"La vulnérabilité existe dans la façon dont Internet Explorer accède à un objet dans une mémoire qui a été supprimée ou qui n'a pas été correctement allouée", explique Microsoft. "La vulnérabilité peut corrompre la mémoire d'une manière qui permet à un assaillant d'exécuter du code arbitraire dans le contexte de l'utilisateur actuel d'Internet Explorer. Un assaillant pourrait héberger un site web conçu spécialement pour exploiter cette vulnérabilité sous Internet Explorer et convaincre alors l'utilisateur de visiter ce site web".

La firme ajoute qu'elle travaille à une mise à jour qui sera disponible à travers les services de mises à jour de sécurité de Windows. Mais comme le veut sa décision d'abandonner le support d'un système d'exploitation vieux de 12 ans, les versions d'Internet Explorer destinées à Windows XP ne devraient pas bénéficier d'un correctif. L'OS n'est d'ailleurs même plus listé parmi ceux victimes de la faille.

Or Internet Explorer étant très fortement intégré à Windows, il n'est pas certain que le fait de migrer sous Firefox, Opera ou Chrome soit suffisant pour se protéger totalement. Microsoft prévient cependant que Outlook, Outlook Express et Windows Mail ouvrent les e-mails HTML dans un mode protégé qui réduit les risques d'attaques en désactivant l'exécution des scripts.

Certains clients privilégiés de Microsoft devraient tout de même recevoir des correctifs adaptés. La firme a ainsi signé des accords de sécurisation de Windows XP avec des banques ou des administrations qui n'ont pas fait migrer à temps leurs parcs informatiques. De son côté, la Chine a décidé de mettre à jour elle-même Windows XP, pour penser aux innombrables versions piratées encore en circulation.

Lire la suite


#2

un navigateur ancré dans l'OS... bravo microsoft !
Vive les vrais navigateurs qui fonctionnent indépendamment du systeme, capables d’êtres mis a jours n'importe quand sans dépendance...


#3

Ah, évidemment cette faille n'est dévoilée que qq semaines après la fin du support, comme pour appuyer le discours alarmiste de MS sur la nécessité de passer à une version plus moderne de Windows (donc potentiellement jeter un vieux PC qui fonctionnait encore bien).
Ma solution pour les gens qui viennent me voir en panique : un dual boot Xubuntu ou Lubuntu/LXLE = ajouter une partition linux où tout sera propre (et même bcp plus réactif : qq années de gagnées) en gardant l'ancien OS malgré tout.


#4

C'est clair qu'a cette époque IE faisait partie intégrante de l'OS. Je me vois encore aller bidouiller dans les paramètres de sécurité d'IE pour faire fonctionner correctement une fusion sous Word avec une source de données non locale....
Par contre vik81, Microsoft n'a jamais eu de discours alarmiste : cela fait longtemps qu'ils annoncent la fin du support XP, ce qui est tout à fait normal pour un soft de cet âge.
Un PC qui fonctionne bien ne fonctionnera pas bien longtemps si tu te met pas à jour.


#5

ça reste litigieux cette histoire, IE8 sera mis à jour sauf la version sur XP.


#6

“Un PC ne fonctionnera pas longtemps si tu ne le mets pas a jour…”
C est complètement faux…pur pipotage…

Mes PC win XP pro sp3 pas très légaux, tournent très bien sans mise a jour…

Mais faut faire gaffe, avoir l œil et Zhou restore au moindre doute…


#7

Tu n’as fais aucune mise à jour de sécurité ?
Pour un utilisateur lambda peut-être, ca passerait (comme tu dis, restore au moindre doute, et prudence au quotidien). En entreprise, c’est suicidaire !


#8

Oh, du calme, on parle d'un machin vieux de 14 ans, le raisonnement n'était pas le même à l'époque. Etre anti-microsoft de façon raisonnée ça se tient, mais de façon dogmatique c'est juste étaler sa bêtise.

Et pour être objectifs, IE 5 & 6 ont été une vraie révolution par rapport à la concurrence au moment de leur sortie, la roue a simplement tourné tandis que MS oubliait de continuer à avancer :)


#9

En clair, ceux qui utilisent XP + un autre navigateur peuvent dormir tranquille ?
Donc le problème, ce n'est pas XP ni ses MAJ mais Explorer. Qui l'utilise encore ? Même en version 10 ?


#10

Je me demande comment ça fait si j'installe Mandrake aujourd'hui ?

Il faut arrêter avec ces comparaisons plus ou moins fumeuses entre les différents OS

Il y a différents OS qui existent aujourd'hui, chacun peut y trouver son intérêt

Et jetter un vieux PC parce-que windows XP n'est plus soutenu, ne tien pas non plus, si cette machine tournait avec XP et tout les logiciels de sécurité qu'il fallait et tout ça à jour, un windows 7 tournera .

Par contre si windows 7 ne tourne pas il à fort à parier que ces machine n'étaient pas à jour, et donc tournaient déjà avec une tonne de faille de sécurités non corrigées, alors ça aurait changé quoi que Microsoft arrêt le support ?


#11

pour minimiser les risques, celà fait très longtemps qu'il est fortement conseillé d'éviter d'utiliser les softs windows, à commencer par explorer, et ce, quelle que soit sa version.
un navigateur qui, n'en déplaise aux naïfs, restent malgré tout même dans ses dernières versions, fortement ancré au moteur de l'OS.

quant à xp, faut utiliser un naigateur alternatif associé à un anti-virus proposant un plug-in permettant d'analyser toutes les pages visitées, à l'exemple du plug-in d'Avast (gratuit dans sa version essentielle). c'est particulièrement efficace, sous réserve bien évidemment de ne pas aller outre la protection...

maintenant, il est évident que microsoft va s'amuser à nous avertir régulièrement que telle nouvelle faille vient d'être décelée, ça fait partie de sa stratégie marketing visant à faire peur aux gens et à les inciter à changer d'OS voire de PC.


#12

c’est moins vrai pour xp que pour les suivants

avec XP lite il y avait réellement possibilité de RETIRER internet explorer et toutes ses racines certes profondements intégrées dans l’OS
ainsi certains composants systemes non critiques (le systeme d’aide en semi html entre autre) ne fonctionnait plus mais on pouvait, outre l’utilisation d’un naviguateur web alternatif (ce qui dans le cas de windows Xp et superieur, ne suffit pas à eviter la totalité des risques liés à des failles dans IE)n mais donc on pouvait, disais-je, supprimer toute trace de ce dernier de l’OS

au passage XPlite reduisait fortement la taille de l’install du merdier et corrigeait plusieurs trucs.
j’avais a l’epoque acheté une licence et ca redonnait un souffle aux deux vieilles machines sur lesquelles j’y avais mis XP


#13

La belle affaire ! De toute façon, les utilisateurs de XP n’utilisaient pas Internet Explorer.

Pour parler d’autre chose, je suis surpris de constater que Guillaume Champeau, qui maîtrise le français (ce n’est pas le cas de tout le monde chez Numérama), emploie le verbe supporter dans son sens anglais, c’est-à-dire soutenir. Un superbe faux ami ! Cela ne ferait pas de mal de s’exprimer correctement quand on a autant de lecteurs.


#14

Oh, du calme, on parle d’un machin vieux de 14 ans, le raisonnement n’était pas le même à l’époque.

Le raisonnement a donc changé avec les derniers Windows ? Ah. :huh:


#15

Une chose aussi ,quasiment tout les distributeurs de billets sont sous windows xp !


#16

oui, il est bien là le vrai problème. et là, ça touche potentiellement tout le monde...


#17

IE8 a déjà 14 ans ??? ^^


#18

J'imagine que les DAB ne sont pas connectés sur autre chose que le réseau interne de la banque et sur des serveurs dédiés qui gèrent les différents systèmes de paiement (MasterCard, Visa, etc...).

Si une attaque exposait ces machines directement sur d'autres réseaux, alors ce serait une vraie catastrophe pour la banque et ses clients. Mais n'est-ce pas un peu tard pour se rendre compte que c'est la fin du support ? Cela fait combien d'années que cela avait été annoncé ?


#19

Il est irresponsable d’arrêter le support d’un OS qui équipe 30% du par mondial des PC. Cela conduit à un problème mondial de sécurité informatique qui déborde largement les droits, intérêts et prérogatives de Microsoft en tant qu’entreprise privée.

Puisque Microsoft décide de se désinteresser d’XP, et même de l’abandonner, il faut prendre la firme au mot, et exproprier Microsoft de l’OS windows XP.

Celui-ci pourrait alors devenir propriété d’une organisation internationale représentative, par ex l’ONU ou l’Unesco, qui mettrait gratuitement à disposition de tous un XP expurgé deses plus récentes failles, en sous-traitant la correction des dites failles auprès de firmes qui auraient répondues à un appel d’offre en ce sens (et auquel Microsoft, ne soyonspas chien, pourrait du reste participer).

Cela responsabiliserait Microsoft (et d’autres auxquels la mesure pourrait ultérieurement s’appliquer), qui devraient alors chaque année, et pour chaque logiciel, arbitrer entre proposer 1 an de support supplémentaire ou se voir exproprié de ce logiciel, qui serait alors proposé à tous.

En tout état de cause, lorsqu’un propriétaire abandonne son bien, il est élémentairement logique que ce bien ne lui appartient plus. Il faut simplement tirer les conclusions de cette évidence.


#20

Ce qui est réellement irresponsable, c'est de se rendre dépendant d'un OS privateur (client), de ne pas prendre des mesures lorsque la fin du support est annoncée (client).

La date de fin du support était connue. Le CLUF était connu également et représente une véritable insulte pour l'utilisateur final.

Si tu veux tirer un enseignement de cette histoire, c'est il vaut mieux utiliser des logiciels sous licence libre, car là tu n'as pas besoin d'exproprier qui que ce soit. Les utilisateurs bénéficient de 4 libertés essentielles qui permettent de corriger, d'améliorer, et de rediffuser le logiciel:
https://www.gnu.org/philosophy/free-sw.fr.html