Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Une faille qui touche toutes les versions de Windows + patch

Microsoft vient de publier une alerte concernant une faille de sécurité qui touche toutes les versions de Windows (XP, Vista, 7, Server 2003 et 2008). Ce bug concerne le protocole MHTML de Windows et permettrait d’exécuter à distance du code « malicieux » et de récupérer des informations personnelles.

Pour savoir si vous êtes concerné par cette faille, créez un fichier test.mht avec le code suivant (dispo sur cette page):

From: "Test"
Subject:
Date: Mon, 1 Jan 1111 11:11:11 -0800
MIME-Version: 1.0
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7600.16543
=EF=BB=BF<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content=3D"text/html; charset=3Dutf-8" http-equiv=3DContent-Type>
<SCRIPT>
function foo()
{
alert("hello");
}
</SCRIPT>
<META name=3DGENERATOR content=3D"MSHTML 8.00.7600.16700"></HEAD>
<BODY onload=3Dfoo()>test MHTML protocol </BODY></HTML>

Lancez ensuite ce code dans votre navigateur (après upload sur un serveur). Si vous voyez une fenêtre comme celle-ci, alors vous êtes concerné par cette faille.

Illustration de l'article montrant une personne utilisant un ordinateur sous Windows

Malgré les apparences, il s’agit d’une faille de protocole qui touche Windows et non pas Internet Explorer. Pour vous protéger, installez ce patch d’urgence proposé par Microsoft en attendant une mise à jour Windows Update. Relancez le test avec test.mht et vous devriez voir ceci :

Capture d'écran de l'erreur de sécurité affichée sur un ordinateur sous Windows

C’est bon, vous êtes protégé !

Tous les détails sur cette faille sont disponible sur le site de Microsoft.

[Source et photo]


Les articles du moment