Alerte suite à des attaques contre une faille d'IE 7

Microsoft a publié un bulletin d'alerte suite à l'identification d'attaques contre une vulnérabilité non corrigée d'Internet Explorer 7. La faille se situerait au niveau du moteur de parsing XML et de la librairie MSHTML.DLL. Microsoft a constaté des attaques contre IE7 sur des systèmes Windows XP Service Pack 2, Windows XP SP3, Windows Server 2003 Service Pack 1, Windows Server 2003 SP2, Windows Vista, Windows Vista SP1 et Windows Server 2008. Tous ces systèmes seraient donc vulnérables à l'attaque.

Dans l'attente d'un correctif, l'éditeur recommande dans le paramétrage du navigateur (options Internet, onglet sécurité) de passer le niveau de sécurité à "haut". Le déclenchement d'un ActiveX ou de tout script provoquera alors l'affichage d'un message d'alerte sur le poste. Microsoft conseille également d'activer la fonction DEP (Data Execution Prevention) de l'OS dans les options de performance. D'après une information d'iDefense, les attaques seraient intervenues suite à la divulgation d'un code d'attaque par une entreprise de sécurité chinoise. Celle-ci avait anticipé la publication d'un correctif par Microsoft lors de son dernier Patch Tuesday et mis en ligne les informations. Or, celle-ci n'est pas intervenue. iDefense a constaté sur des forums fréquentés par des pirates qu'un code d'attaque était à la vente pour 15 000 dollars.