Lire la suite sur Developpez.comMicrosoft vient de publier une nouvelle solution de contournement pour se protéger contre une vulnérabilité récemment dévoilée touchant Internet Explorer.
Microsoft, qui prend la situation très au sérieux, avait déjà tiré la sonnette d'alarme et émis un bulletin d'alerte. Un billet expliquant comment réduire les risques d'attaque avait été publié.
Pour mémoire la faille se situe au niveau du moteur HTML. Elle peut être exploitée lorsque le navigateur traite des fichiers CSS (Cascading Style Sheets) avec pour résultat, une possible exécution d'un code arbitraire via une page Web malicieuse (lire ci-avant).
Aujourd'hui, Microsoft fait état de possibles attaques, mais limitées, de la part de pirates qui auraient tenté d'exploiter cette vulnérabilité.
Dans un souci d'offrir une meilleure protection aux utilisateurs avant la sortie d'un correctif, Microsoft publie donc une nouvelle solution de contournement dans un package MSI qui utilise la boite à outils de compatibilité des applications Windows pour faire une petite modification dans le fichier MSHTML.DLL chaque fois qu'il est chargé par Internet Explorer. Cette modification permet au navigateur d'arrêter le traitement d'un fichier CSS si celui-ci contient du code malveillant.
La firme souligne que la solution de contournement ne marche que si les dernières mises à jour de sécurité publiées ont été appliquées, y compris la MS10-090 publiée le 14 décembre 2010.
Des travaux sont en cours pour la publication d'un correctif, qui devrait être intégré dans le prochain patch Tuesday.
Microsoft Fixit 50591.msi@+
