Reçu dans ma boite - Newsletter de k-otik
 
Par Fabien Lesner (K-OTik.com) - Microsoft a publié le 20 août dernier un bulletin de sécurité fixant plusieurs vulnérabilités critiques dans Internet Explorer. Une nouvelle variante de la faille "Object Data" vient d'être découverte, ce qui rend le patch MS03-032 inefficace. Cette nouvelle variante jugée Critique, est actuellement exploitée par un programme malicieux (nommé ADPlus ou SurferBar), qui rajoute à Internet Explorer une barre contenant des liens vers des sites adultes.  
 
Le programme malicieux exploite cette variante comme suit (Secunia) :
 
1) L'utilisateur reçoit un email exploitant "Object Data".
2) Un fichier "a.cgi" est automatiquement exécuté à partir d'un serveur web (63.246.130.201), puis installe le fichier "drg.exe" dans "C:\".
3) "drg.exe" est exécuté, et le fichier "surferbar.dll" est enregistré sous C:\Program Files\win32.dll
4) "win32.dll" est exécuté par "regsvr32", une barre est ajoutée à Internet Explorer.  
 
 
-> Tester la Sécurité de Votre Internet Explorer MS03-032  
   ------------------------------------------------------
 
http://www.k-otik.com/MS03-032-TEST/
 
(Une nouvelle fenêtre apparaît si vous êtes vulnérable)
 
 
Article Original : http://www.k-otik.com/news/09.08.MS03-032.php

mon Meuh est vulnerable
 
l'es ou le patch ?
 
( c'est pas des conneries au moins )

 
C'est expliqué dans une des fenêtres, il faut désactiver Active scripting.
 
Sinon chez moi ZoneAlarm c'est déclenché

 
oui mais c'est pas un patch , c'est plutot une rustine.
 
tant qu'a faire pkoi pas conseiller de plus se connecter à internet

Ouai ben d'ailleurs je l'ai réactivé sinon y'a des sites ou ça foire. Par exemple chez JeuxVideo.com quand on clique sur une photo d'un jeux en vignette elle ne s'affiche pas en grand.
 
Bref
 
De toute façon ZoneAlarm veille

l'article a été mis à jour, car un nouvel exploit a été developpé, ce qui provoque l'execution à distance (meme si vous désactivez Active Scripting)
 
Nouvelle Solution : Désactivez toutes les options ActiveX & Plugins.
 

Pour information, vous trouvez ci-dessous la description du Troj/JSurf-A.
 
Troj/JSurf-A arrive via un e-mail HTML exploitant une faille corrigée dans le Correctif cumulé pour Internet Explorer (MS03-032).  
 
L'e-mail contient un onglet Object Data qui exécute un script VBS sur un site distant. Le script place un fichier EXE dans le lecteur C:\ sous le nom DRG.EXE. Ce composant de Troj/JSurf-A se connecte à un site distant, télécharge un fichier DLL dans C:\Program Files\win32.dll, puis exécute regsvr32.exe pour l'enregistrer sur le système.  
 
Le cheval de Troie s'appuie sur une faille présente dans les logiciels de Microsoft. En août 2003, Microsoft a d'ailleurs publié un correctif qui, dit-on, corrige le problème. Ce correctif est disponible à la page : www.microsoft.com/technet/security [...] 3-032.asp.