Microsoft a mis en garde lundi les utilisateurs d'Internet Explorer contre une nouvelle faille détectée dans le navigateur jusqu'à sa version 9.
Une vulnérabilité exploitée par des pirates pour télécharger du code malveillant et infecter les machines.
Seul Internet Explorer 10 est à l'abri de cette faille, qui permet l'exécution de code à distance.
Microsoft explique sur son site dédié à la sécurité que des « attaques ciblées tentent d'exploiter cette vulnérabilité. »
« La faille pourrait corrompre la mémoire d'une manière qui pourrait permettre à un attaquant d'exécuter du code arbitraire via Internet Explorer.
Un attaquant pourrait héberger un site Web spécialement conçu pour exploiter cette vulnérabilité d'IE, puis inciter l'utilisateur à consulter le site Web. » explique la firme.
Microsoft devrait corriger cette faille par le biais d'un prochain patch Tuesday, peut-être celui du mois d'octobre.
En attendant, l'entreprise conseille l'installation du logiciel Enhanced Mitigation Experience Toolkit (EMET) qui vise à atténuer le risque d'exploit des failles nouvellement découvertes.
Néanmoins, selon des experts en sécurité interrogés par Reuters, ce palliatif pourrait ne pas être suffisant.
« Pour les consommateurs, il pourrait être plus simple d'utiliser Chrome », a notamment déclaré Dave Marcus, un expert de chez McAfee, tandis que Marc Maiffret de chez BeyondTrust a souligné qu'EMET pouvait parfois occasionner des conflits avec d'autres logiciels parfois déployés sur les réseaux d'entreprise.
Il n'y a plus qu'à espérer que Microsoft réagisse rapidement en proposant un correctif concret.
http://technet.microsoft.com/ source
sourceUne faille critique zero day dans Internet Explorer
Des hackers exploitent d’ores et déjà la vulnérabilité du navigateur pour lancer des attaques ciblées.
Microsoft a indiqué hier, dans une alerte de sécurité, que son navigateur était victime d’une faille critique que certains hackers étaient déjà en train d’exploiter pour réaliser des attaques ciblées.
Sont concernés les versions 6, 7, 8 et 9 du navigateur.
Mais pas la version 10. Cette faille permet l’exécution à distance de codes malveillants via Internet Explorer.
Selon Reuters, la faille a été découverte vendredi dernier (le 14 septembre) par un chercheur en sécurité luxembourgeois.
Son PC a été infecté par le logiciel malveillant Poison Ivy, qui utilise la vulnérabilité du navigateur pour voler des données sur les ordinateurs.
Aucun patch n’est disponible pour l’instant. Microsoft conseille d’installer la boîte à outils logicielle EMET pour atténuer le risque, ou encore de désactiver les scripts et les contrôles Active X. Autre possibilité : changer de navigateur.