WebLog de Stéphane PAPP [MSFT] : Internet Explorer

Bulletins de sécurité de décembre 2009

spapp — Wed, 09 Dec 2009 05:57:52 GMT

Comme indiqué dans le billet publié en anglais par l’équipe Microsoft Security Response Center (MSRC), Microsoft a publié 6 bulletins de sécurité hier. Cette équipe est particulièrement préoccupée par le bulletin MS09-072 qui présente la particularité de cumuler à la fois la criticité et l’exploitabilité les plus grandes.

En cette période de gel des opérations sur les serveurs, comme souligné par Pascal SAULIERE dans un billet récent, et d’achats de nouveaux ordinateurs qui ne sont pas protégés tant qu’ils ne sont pas mis à jour, le potentiel de crise est assez élevé.

Attention aux flogs

spapp — Sun, 08 Nov 2009 09:09:54 GMT

Bien que le terme de “flogs” ne soit pas totalement nouveau, il semble qu’une nouvelle menace tende à augmenter avec la manière de les utiliser.

Le néologisme a été créé sur la contraction de False et de Blog ; c’est à dire de faux journal sur Internet. L’article en anglais de Wikipédia donne quelques exemples connus de faux blogs. Il s’agissait, jusque récemment, de parodier ouvertement un site officiel.

Vous connaissiez les pages de phishing qui tentent d’imiter une page classique d’un site officiel. Dans son évolution récente, un flog est assez similaire du tout moins dans son objectif d’extorquer des informations précieuses telles que des numéros de cartes bancaires, mais surtout adresse email valide ou de vous guider pour ouvrir vos ordinateurs de manière à pouvoir les attaquer.

L’utilisation du filtrage SmartScreen d’Internet Explorer 8 (IE8) devrait vous protéger, mais restez vigilants ! Tout ce qui est écrit sur Internet n’est pas forcément vrai. Je peux seulement vous assurer que, n’étant pas le 1er avril, cette information sur les flogs est bien réelle.

Microsoft Security Intelligence Report volume 7 (January - June 2009)

spapp — Mon, 02 Nov 2009 18:26:30 GMT

Faisant suite aux volumes précédemment annoncé ici et là, le 7ième rapport de recherche sur la sécurité couvrant la période de janvier à juin 2009 vient d’être publié à l’emplacement suivant :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd

De manière plus facile à retenir, vous pouvez le trouver sur :
http://www.microsoft.com/security/portal/Threat/SIR.aspx

Nul doute que sa version française sera prochainement disponible sur :
http://www.microsoft.com/france/securite/sir.mspx

L’annonce en anglais résume les principales tendances des menaces sur ce premier semestre 2009.

Le principal enseignement que je vois dans ce rapport est une tendance favorable à l’utilisation de systèmes d’exploitation récents : Windows Vista, bien que largement moins déployé que Windows XP s’en sort mieux. Face aux menaces existantes, l’utilisation de système 64 bits protège mieux car de nombreux logiciels malfaisants ne savent pas comment traiter ces systèmes. La conséquence jumelée de ces deux constats est que les attaques portent davantage sur des composants qui ne sont pas livrés par le système d’exploitation, mais largement diffusés.

Patchez-vous bien !

Security Compliance Management Toolkit Series

spapp — Wed, 28 Oct 2009 14:58:00 GMT

Est-ce pour tromper les ennemis ? Toujours est-il que ce qui s’est longtemps appelé le guide de sécurité (security guide) des systèmes d’exploitation est désormais noyé dans le “Security Compliance Management Toolkit Series”.

La version qui vient d’être mise à jour à l’emplacement suivant contient les informations relatives à Windows 7, BitLocker et Internet Explorer 8 :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=5534bee1-3cad-4bf0-b92b-a8e545573a3e

Dans la version que je viens de télécharger, le package censé contenir les données de tous les système ne contient pas celui pour Windows 7, ni celui d’Internet Explorer 8 qui doivent, donc, être téléchargés séparément.

Ces packs sont livrés avec des packs de configuration utilisables par le module de gestion de conformité (DCM pour Desired Configuration Management) de System Center Configuration Manager 2007 R2 (ConfigMgr).

Windows 7 et le choix du navigateur en Europe

spapp — Sat, 01 Aug 2009 10:19:42 GMT

Suite aux réactions des constructeurs et de la commission européenne, Microsoft a annoncé que l’Europe ne disposera pas d’une version spécifique de Windows 7 comme précédemment proposé avec la version Windows 7 E évoquée ici.

L’annonce a été faite sur le blog du site de communication légale à l’emplacement suivant :
http://microsoftontheissues.com/cs/blogs/mscorp/archive/2009/07/31/windows-7-and-browser-choice-in-europe.aspx

Pour laisser le choix du navigateur, une fenêtre de choix sera mise à disposition des utilisateurs.

Cette décision permettra ne ne pas différer la disponibilité générale de Windows 7 en Europe qui reste pour le 22 octobre prochain.

Windows 7 et Windows Server 2008 R2 sont RTM

spapp — Thu, 23 Jul 2009 09:46:21 GMT

Microsoft a annoncé hier la livraison à la fabrication de Windows 7 et de Windows Server 2008 R2 sur :
http://www.microsoft.com/Presspass/press/2009/jul09/07-22Windows7RTMPR.mspx

Le blog de l’équipe produit avait précédemment annoncé que les professionnels pourraient télécharger ces versions à compter du 6 août prochain.

Pour continuer à vous préparer et connaître l’état de votre parc vis-à-vis de ces nouvelles versions, je ne peux que vous encourager à utiliser le Microsoft Assessment and Planning Toolkit (MAP) disponible en version 4 depuis :
http://www.microsoft.com/downloads/details.aspx?FamilyID=67240b76-3148-4e49-943d-4d9ea7f77730&DisplayLang=en

Cette date du 22 juillet marque le début du compte à rebours pour de nombreuses équipes qui se sont engagées à livrer de nouvelles versions de leurs produits pour tenir compte des possibilités de ces deux versions de Windows.

Je pense, en particulier à System Center Configuration Manager 2007 R2 (ConfigMgr) dont le service pack 2 sortira d’ici à 90 jours, mais aussi à Microsoft Deployment Toolkit (MDT ex BDD) dont une version 2010 sera disponible sous 60 jours.

System Center Virtual Machine Manager 2008 R2 devrait sortir également dans les 60 jours qui viennent.

Au passage, les versions françaises ne devraient pas tarder dans la mesure où le processus de traduction (localisation en microspeak :-)) a profondément évolué depuis les dernières versions de Windows.

Pour l’Europe, nous disposerons d’éditions spécifiques :

Windows 7E : sans Internet Explorer
Windows 7N : sans Internet Explorer ni Windows Media Player

Selon des sources généralement bien informées, il semble que la plupart des sites de vente en ligne aient épuisé leur quota de vente de produits à tarif attractif comme annoncé ici. Il ne resterait que la possibilité d’en trouver dans des magasins traditionnels.

Microsoft Fix it

spapp — Sun, 14 Jun 2009 10:17:43 GMT

Après un lancement aux États-Unis en début d’année, les solutions « Microsoft Fix it » sont disponibles en français. Il s’agit d’articles de la base de connaissances (KB pour Knowledge Base) dans lesquels un bouton « Fix it » a été rajouté vous permettant d’obtenir la solution à votre problème par un simple clic, sans avoir à appliquer manuellement les différentes étapes nécessaires décrites dans l’article.

Plus d’informations sont disponibles sur :
http://support.microsoft.com/gp/cp_fixit_main/fr

J’ai voulu tester cette nouvelle possibilité sur l’article 945402 pour faire apparaître l’icône d’Internet Explorer sur le bureau de mon Windows 7 : un message d’erreur s’affiche qui m’informe que ce correctif ne s’applique pas à mon système d’exploitation.

J’avais déjà évoqué la possibilité de rajouter cette icone dans un billet sur Windows Vista. Pour Windows 7, la solution à base de la clé "{871C5380-42A0-1069-A2EA-08002B30309D}" ne fonctionne pas. Est-ce prémonitoire de la décision de fournir une version de Windows 7 sans Internet Explorer en Europe comme celà a été évoqué cette semaine ?

Packs multi-mangues pour Internet Explorer 8

spapp — Thu, 14 May 2009 23:20:03 GMT

Les packs multi-mangues (MUI) pour Internet Explorer 8 (IE8) sont disponibles aux emplacements suivants :

Pour Windows XP
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=ff0f765d-79bc-4d6a-8d44-620b0447839d

Pour Windows Server 2003 SP2
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=242bf57a-9dab-4ea9-ba46-33c0e32020a4

Pour les éditions x64 de Windows Server 2003 ou Windows XP
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=14da5d98-bcc0-43b3-acf8-e321fd35c6e9

Ces packs sont utilisables sur des systèmes équipés de systèmes MUI et d’Internet Explorer 8.

Comment passer pour un héros

spapp — Sat, 25 Apr 2009 13:23:00 GMT

Il ne sera pas question, ici, de l’utilisation de System Center Data Protection Manager dont l’un des slogans est “Rescue data like a hero”. Cela fait plusieurs fois que j’entends parler de personnes qui travaillent sur un document qu’ils ont reçu par leur messagerie Hotmail, l’enregistrent et ne le retrouvent plus après avoir quitté Internet Explorer.

Les étapes que j’ai utilisées ce matin doivent être adaptées et je ne garantis pas qu’elles fonctionnent à coup sûr pour retrouver ce fichier perdu.

J’ai ouvert une invite de commande via CMD. Mon utilisatrice de ce matin étant sous Windows Vista, l’invite s’est ouverte directement à la racine de son profil (C:\USERS\nomdel’utilisatrice).

À l’aide de la commande CD, je me suis placé dans le répertoire des fichiers temporaires d’Internet Explorer :

cd AppData

cd Local

cd Microsoft

cd Windows

cd "Temporary Internet Files"

Notez qu’étant modéremment fainéant, j’ai choisi d’utiliser le remplissage automatique des commandes en ne composant que le début du répertoire à atteindre, puis en appuyant sur la touche TAB pour compléter la commande. Cette technique évite de devoir, aussi, composer les guillemets nécessaires quand le nom du répertoire comporte des espaces.

Pour une raison que j’ignore, cette fonction existe depuis très longtemps sous Windows, mais n’était pas activée par défaut. Les clés CompletionChar et PathCompletionChar de l’emplacement suivant contrôlent leur activation :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor

Ne sachant pas précisément à quel endroit chercher en dessous de ce répertoire, j’ai lancé une commande DIR avec le début du nom du fichier recherché :

dir débutdunom*.* /s

J’ai eu de la chance car ce fichier n’était pas caché. Dans le cas contraire, j’aurai pu tenter d’utiliser le commutateur “/a” en plus du “/s”.

Il est apparu que le fichier tant recherché était dans quelque chose comme “Low\Content.IE5\MS79W9QL”. J’ai, donc, effectué une copie de ce fichier vers le bureau via :

copy Low\Content.IE5\MS79W9QL\nomdufichier.extension \Users\nomdel’utilisatrice\Desktop

Le fichier est miraculeusement apparu sur le bureau et mon utilisatrice à pu vérifier qu’il s’agissait bien du fichier dans sa dernière version éditée pendant des heures. À l’avenir, je pense que le réflexe sera pris d’enregistrer le fichier dans un répertoire connu avant de commencer à l’éditer.

Microsoft Application Compatibility Toolkit 5.5

spapp — Sat, 04 Apr 2009 07:22:30 GMT

La version 5.5 du Microsoft Application Compatibility Toolkit (ACT) vient d’être publiée sur :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=24da89e9-b581-47b0-b45e-492dd6da2971

La principale nouveauté est le support de Windows 7 et du service pack 2 de Windows Vista.

Il est à noter que le module Explorer Compatibility Evaluator (IECE) a été retiré, mais que la compatibilité avec Internet Explorer 7 (IE7) et Internet Explorer 8 (IE8) reste possible à l’aide de Internet Explorer Compatibility Test Tool (IECTT) dans le mmenu démarrer.

Demandes incessantes d’authentification sur le reporting de Configuration Manager

spapp — Tue, 31 Mar 2009 09:05:00 GMT

Dans la plupart des démonstrations et tests que je peux faire de System Center Configuration Manager 2007, je n’utilise qu’une seule machine virtuelle pour le serveur et l’administre depuis ce serveur. Que ce soit avec Windows Server 2003 R2 ou Windows Server 2008, l’utilisation des fonctions de rapport conduisent à des demandes incessantes d’authentification.

La cause réelle de cette demande d’authentification se situe au niveau du composant appelé “Configuration de sécurité renforcée d'Internet Explorer” ou “Internet Explorer Enhanced Security Configuration” comme décrit sur les fiche technique 815141 ou sur :
http://technet.microsoft.com/library/cc940961.aspx

Pour désactiver ce composant sur Windows Server 2003 et retrouver le niveau de protection de Windows 2000, il suffit de procéder comme suit :

Ouvrir le Panneau de configuration (Control Pannel), cliquer sur Ajout/Suppression de programmes (Add/Remove Programs), puis sur Ajouter/Supprimer des composants Windows (Add/Remove Windows Components).
Sélectionner Configuration de sécurité renforcée d'Internet Explorer (Internet Explorer Enhanced Security Configuration), désactiver la case à cocher, puis cliquer sur OK.
Cliquer sur Suivant (Next), puis sur Terminer (Finish).
Redémarrer la console ConfigMgr pour appliquer les modifications.

Pour désactiver ce composant sur Windows server 2008 et retrouver le niveau de protection de Windows 2000, il suffit de procéder comme suit :

Démarrer le Gestionnaire de serveur.
Dans le volet d'informations, rechercher la zone Informations sur la sécurité qui figure sous la zone Résumé serveur.
Dans la zone Informations sur la sécurité, cliquer sur Paramétrer la Configuration de sécurité renforcée d’Internet Explorer.
Dans la zone Configuration de sécurité renforcée d’Internet Explorer, cliquer sur l'une des options suivantes :
- Si le compte utilisé est membre du groupe Administrateurs, cliquer sur Désactivé sous Administrateurs.
- Si le compte utilisé est membre du groupe des utilisateurs standard, cliquer sur Désactivé sous Utilisateurs.
Cliquez à nouveau sur OK

Pour automatiser ce changment sous Windows Server 2008, vous pouvez utiliser le mot clé “Microsoft-Windows-IE-ESC” avec Servermanagercmd.exe. Avec Windows Server 2003, ce sont IEHardenAdmin=Off et IEHardenUser=Off d’un fichier unattend.txt de sysocmgr.exe.

Important

Lorsque vous utilisez les paramètres de sécurité Windows 2000 pour Internet Explorer, vous restaurez les listes de Sites de confiance et de sites Intranet local qui étaient en cours au moment de l'application de la Configuration de sécurité renforcée d'Internet Explorer.
L'application des paramètres de sécurité Internet Explorer par défaut de Windows 2000 augmente l'exposition de votre serveur à des attaques potentielles à partir d'un contenu Web malintentionné.

Pour se convaincre de l’intérêt de ce composant, il suffit d’analyser la cricité des bulletins de sécurité relatifs à Internet Explorer sur Windows Server 2008.

En production, il ne faut absolument pas utiliser un serveur, et encore moins un serveur de site ConfigMgr, pour surfer avec Internet Explorer, y compris vers des serveurs présents dans votre Intranet. Je vous laisse, simplement, imaginer les conséquences de l’insertion d’un virus sur un serveur dont la fonction est de distribuer des logiciels sur l’ensemble de votre parc.

De manière générale, je vous conseille d’utiliser une console d’administration sur un autre ordinateur que votre serveur de site. Idéalement, l’utilisation d’un serveur de terminaux pour regrouper les outils d’administration permet d’éviter la multiplication des outils et, optionnellement, de changer le compte pour les utiliser.

Quelques chiffres sur la protection contre les programmes malveillants dans Internet Explorer 8

spapp — Sat, 21 Mar 2009 10:12:41 GMT

Durant le programme beta d’Internet Explorer 8 (IE8), la collecte des informations sur le fonctionnement du produit a délivré quelques informations très intéressantes sur l’évolution des menaces. Cette collecte est mise en œuvre à travers un réglage volontaire que je vous encourage à utiliser. Les informations transmises sont anonymes de manière à respecter la vie privée, mais permettent d’améliorer les futures versions des logiciels Microsoft.

1 téléchargement sur 200 est celui d’un programme malveillant (malware),
1 utilisateur sur 40 a reçu en une semaine d’utilisation un message d’avertissement d’une tentative de téléchargement de programme malveillant,
plus de 10 millions d’utilisateurs ont été protégés contre une tentative de téléchargement de logiciels malveillant,
durant le programme beta, les utilisateurs ont reçu 10 fois plus de messages d’avertissement relatifs à des programmes malveillants que de tentatives d’hameçonnage (phishing)

En complément de ces quelques chiffres, une étude indépendante en anglais est disponible pour vous convaincre d’adopter IE8 à l’emplacement suivant :
http://nsslabs.com/anti-malware/browser-security

Internet Explorer 8

spapp — Thu, 19 Mar 2009 10:23:35 GMT

La version 8 d’Internet Explorer (IE) sera disponible dans la journée d’aujourd’hui depuis :
http://www.microsoft.com/ie8

Cette nouvelle version, native dans Windows 7 est disponible pour les systèmes d’exploitation suivants :

Pour la version française, les systèmes suivants sont disponibles, actuellement :

Parmi les nouveautés, figurent une amélioration de la sécurité et des performances. Pour découvrir les nouveautés en français, vous pouvez aller sur :
http://www.microsoft.com/france/windows/products/winfamily/ie/ie8/campaign/default.mspx

Fichier des Stratégies de Groupe pour Internet Explorer

spapp — Tue, 27 Jan 2009 23:58:06 GMT

Avec la sortie prochaine de la version 8 d’Internet Explorer, de nouvelle stratégies de groupes sont disponibles.

Le fichier disponible à l’emplacement suivant détaillent les stratégies disponibles pour Internet Explorer en incluant celles spécifiques à la version 8 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=ab4655f2-0a3c-42eb-974d-24b2790bf592&DisplayLang=en

Internet Explorer 8 Release Candidate

spapp — Tue, 27 Jan 2009 09:04:57 GMT

Nous y sommes presque ! Internet explorer 8 vient de franchir une dernière étape avec la livraison d’une version “Release Candidate” ou RC.

Pour y accéder :
http://www.microsoft.com/windows/internet-explorer/beta/

Pour mémoire, IE8 permet de fonctionner dans un mode respectant pleinement le standard html, mais continuer à fonctionner en mode de compatibilité. Du travail préparatoire et nécessaire au niveau des serveurs Web pour basculer d’un mode à l’autre et préserver l’expérience des utilisateurs.