Firefox 3 rompt les enregistrements, alors elle-même

Illustration: Firefox 3 de Harry CampbellMozilla, lors de sa récente sortie, a établi un nouveau record pour les téléchargements de navigateur en une seule journée: plus de 8 millions de copies en seulement 24 heures. Il n'est donc pas surprenant que les hackers passent plus de temps à chercher des failles Firefox.

Mozilla a publié des mises à jour pour corriger deux failles de sécurité dans Firefox 2 et 3. Le premier correctif bloque un programme d'attaque malveillant (la ligne verticale, ou "|") caractères que le navigateur peut gérer. La deuxième vulnérabilité implique un risque d'attaque de débordement similaire.

Aucun bug n'a encore engendré de véritables attaques dans la nature; mais avec les deux non fixés, visiter une page Web empoisonnée pourrait laisser votre PC infesté de logiciels malveillants. Assurez-vous d'avoir la dernière version du navigateur en cliquant sur Aide, Vérifier les mises à jour (les versions 2.0.0.16 et 3.0.1 contiennent ces correctifs).

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Opera Reprise

Firefox n'est pas le seul navigateur en mode de correction ce mois-ci: Opera 9.51 corrige un problème de sécurité jugé «moyennement grave» dans la version 9.5 qui vient de sortir. Opera a refusé de divulguer des détails sur la faille, afin de ne pas dénoncer les pirates; heureusement, le patch est antérieur aux véritables attaques.

La version 9.51 corrige également plusieurs problèmes de stabilité et un bug qui pourrait permettre à un méchant de lire des parties aléatoires de la mémoire de votre PC, exposant éventuellement des informations sensibles. Utilisez la commande Aide d'Opera, Vérifier les mises à jour pour déterminer si vous avez besoin d'une mise à jour. Pour l'obtenir, vous devrez télécharger et installer manuellement la dernière version complète.

Contrairement aux bogues de Firefox et Opera, un trou Microsoft Word est actuellement attaqué. Au moment de mettre sous presse, Microsoft enquêtait sur les rapports d'attaques zero-day contre les utilisateurs de Word 2002 SP3 (toutes les autres versions de Word ne sont pas affectées).

Comme de nombreux bogues Office, vous devez ouvrir un document Word empoisonné. via e-mail ou offert en téléchargement pour être touché. Pour plus d'informations sur le bogue, consultez l'avis de Microsoft

Une autre menace zero-day

Microsoft enquête sur un assaut différent du jour zéro qui tire parti d'un trou dans le contrôle ActiveX de Snapshot Viewer pour Microsoft Access. La société affirme avoir vu des attaques limitées et ciblées qui déclenchent la faille via Internet Explorer. L'affichage d'une page Web malveillante peut compromettre votre système et vous risquez d'être confronté à l'installation d'Access 2000, 2002 ou 2003, ou si vous avez téléchargé Snapshot Viewer pour Microsoft Access seul pour lire les rapports Access dans IE.

Comme pour toutes les vulnérabilités zero-day, aucun patch n'est encore disponible. Microsoft suggère quelques solutions de contournement largement désagréables, qui incluent la désactivation de Active Scripting dans IE, l'invite avant d'exécuter Active Scripting ou la modification du Registre Windows pour désactiver uniquement ce contrôle ActiveX particulier (voir l'avis pour les instructions). Soyez prudent avec la solution de contournement du Registre, car une erreur dans la modification du Registre peut entraver ou même casser Windows.

Vous avez trouvé un bogue matériel ou logiciel? Envoyez-nous un e-mail à [email protected].