Une faille de sécurité d’internet explorer qui se déclenche via la touche F1
sur les anciennes versions de windows.
Microsoft vient de confirmer sur un bulletin d'alerte l’existence d’une
faille de sécurité au niveau d’internet explorer (toutes versions
confondus) utilisé sur les anciennes versions de ses systèmes
d’exploitation, et qui concerne le moteur VBScript et les fichiers
Windows Help.
Cette faille de sécurité ne concerne que les systèmes Windows XP, Windows 2000 et Windows server 2003.
Selon Maurycy Prodeus le chercheur qui a découvert cette vulnérabilité,
cette faille peut être utiliser en invitant les internautes à un site
conçu spécialement pour l’exploiter, et de les inviter à presser la
touche F1, ce qui permettra d’exécuter un code arbitraire sur la
machine de la victime.
Microsoft n’a pas encore publié de correctifs pour cette faille, mais
en attendant le prochaine « Patch Tuesday» prévu le 9 mars prochain et
qui peut contenir un correctif pour cette faille, David Ross propose
sur le blog sécurité de microsoft deux solutions temporaires :
- Ne jamais presser la touche F1 si un site internet le demande.
- Ou utiliser la commande suivante :
Code :
cacls "%windir%\winhlp32.exe" /E /P everyone:N
Pour désactiver l'aide de Windows