Internet Explorer 8 - Protection de l’exécution des données/NX

Plateformes affectées

Clients - Windows XP, Windows Vista, Windows 7
Serveurs - Windows Server 2003, Windows Server 2008, Windows Server 2008 R2

Notes

Internet Explorer 8 active la protection DEP/NX lorsqu’elle est exécutée sur un système d’exploitation avec le dernier Service Pack. Windows XP SP3, Windows Server 2003 SP3, Windows Vista SP1 et Windows Server 2008 sont tous activés par défaut dans Internet Explorer 8.

 

Impact sur les fonctionnalités

Gravité : moyenne
Fréquence - Faible

Notes

En règle générale, toute application qui s’exécute dans Internet Explorer et qui n’est pas compatible avec DEP/NX se bloque au démarrage et ne fonctionne pas. Les Explorer Internet peuvent se bloquer au démarrage si des modules complémentaires qui ne sont pas compatibles avec DEP/NX sont installés.

 

Description

DEP/NX est une fonctionnalité de sécurité qui permet d’atténuer les vulnérabilités liées à la mémoire. À compter d’Internet Explorer 8, tous les processus de Explorer Internet activent la fonctionnalité DEP/NX par défaut.

Manifestation d’impact

Le noyau Windows surveille l’exécution d’un programme. Si le noyau détecte une tentative d’exécution de code à partir d’une page mémoire qui n’est pas marquée comme exécutable, le noyau arrête l’exécution du programme, ce qui entraîne un « blocage ». Il s’agit d’une mesure de sécurité qui permet de s’assurer que les vulnérabilités liées à la mémoire (par exemple, les dépassements de mémoire tampon) dans l’application ne peuvent pas être exploitées afin d’exécuter du code arbitraire.

Atténuation de la End-User

• Installez une version ultérieure du module complémentaire ou de l’infrastructure compatible DEP/NX.
• Exécutez Internet Explorer élevé en tant qu’administrateur, puis désactivez DEP/NX à l’aide de la zone Activer la protection de la mémoire pour atténuer les attaques en ligne case activée de l’onglet Options / Internetavancées.

Solution développeur

Compilez des applications à l’aide des dernières versions des frameworks compatibles DEP.

Tirer parti des fonctionnalités

• Utilisez l’option de l’éditeur de liens /NXCOMPAT pour indiquer la compatibilité DEP/NX
• Optez votre code dans d’autres défenses disponibles, telles que la défense de pile (/GS), la gestion sécurisée des exceptions (/SafeSEH) et ASLR (/DynamicBase)

Tests de compatibilité, de performances, de fiabilité et d’utilisation

• Testez votre code avec DEP/NX activé à l’aide de la dernière version d’Internet Explorer sur Windows Vista SP1 ou version ultérieure.
• Testez avec Internet Explorer 7 sur Windows Vista après avoir activé l’option DEP/NX. Pour activer DEP/NX pour Internet Explorer 7, exécutez Internet Explorer en tant qu’administrateur, puis définissez la zone de case activée appropriée sous l’onglet Outils > Options > Internet avancés.
• Exécutez Internet Explorer Compatibility Test Tool (IECTT), fourni avec application Compatibility Toolkit (ACT) pour localiser les éventuels problèmes dus aux modifications DEP/NX.

Liens vers d’autres ressources

• Internet Explorer 8 Security Part I: DEP/NX Memory Protection
• Prévention de l’exécution des données
• Nouvelles API NX ajoutées à Windows Vista SP1, Windows XP SP3 et Windows Server 2008 R2
• Téléchargement du kit de ressources de compatibilité des applications
• Problèmes connus liés aux fonctionnalités de sécurité d’Internet Explorer