Microsoft : une faille zéro day sur Internet Explorer exploitée
Publié le
et mis à jour le
Rubrique Internet
Microsoft a reconnu ce week-end qu’une vulnérabilité dans Internet Explorer pourrait permettre l'exécution de code à distance. Toutes les versions du navigateur sont concernées par cette faille zéro day qui est actuellement exploitée.
Microsoft a publié un bulletin de sécurité ou il reconnait qu’une faille de sécurité affecte les versions d’Internet Explorer 6 à 11 et que des attaques limitées et ciblées ont eu lieu en se servant de cette faille. La faille découverte permet l’exécution de code à distance en se servant de la vulnérabilité dont Internet Explorer accède à un objet en mémoire qui a été supprimé ou n'a pas été attribué correctement. Cette faille pourrait permettre à une personne malveillante d'exécuter du code arbitraire via un site Internet conçu pour exploiter cette vulnérabilité dans Internet Explorer, puis inciter un utilisateur à consulter ce site Web.
Microsoft travaille actuellement à corriger cette faille et dès qu’un patch sera disponible, ce dernier sera rendu disponible via Windows Update. Par contre, les utilisateurs de Windows XP (il y en a encore) ne pourront pas bénéficier de cette mise à jour, à moins que Microsoft ne décide exceptionnellement de la proposer malgré la fin du support depuis le 8 avril dernier.
Par ailleurs, Microsoft indique qu’Internet Explorer sur Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité améliorée ce qui permet de rendre le navigateur moins faillible à la faille.
En attendant le correctif, le plus sage est de surfer avec un autre navigateur (Chrome ou Firefox par exemple) et surtout de faire attention quand vous recevez un mail même si par défaut, toutes les versions de Microsoft Outlook, Microsoft Outlook Express, Windows Mail permettent l’ouverture des mails dans une zone dite sensible, ce qui désactive les scripts et les contrôles ActiveX et peut contribuer à vous protéger contre cette faille zéro day.
Microsoft travaille actuellement à corriger cette faille et dès qu’un patch sera disponible, ce dernier sera rendu disponible via Windows Update. Par contre, les utilisateurs de Windows XP (il y en a encore) ne pourront pas bénéficier de cette mise à jour, à moins que Microsoft ne décide exceptionnellement de la proposer malgré la fin du support depuis le 8 avril dernier.
Publicité
Par ailleurs, Microsoft indique qu’Internet Explorer sur Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2 s'exécutent selon un mode restreint appelé Configuration de sécurité améliorée ce qui permet de rendre le navigateur moins faillible à la faille.
En attendant le correctif, le plus sage est de surfer avec un autre navigateur (Chrome ou Firefox par exemple) et surtout de faire attention quand vous recevez un mail même si par défaut, toutes les versions de Microsoft Outlook, Microsoft Outlook Express, Windows Mail permettent l’ouverture des mails dans une zone dite sensible, ce qui désactive les scripts et les contrôles ActiveX et peut contribuer à vous protéger contre cette faille zéro day.