La faille d'Internet Explorer largement exploitée

La semaine dernière une faille critique, non corrigée, d'Internet Explorer 7 était révélée. Selon Microsoft, elle faisait déjà alors l'objet d'exploitations pour des attaques Web. La vulnérabilité a depuis pris de l'ampleur. En effet, elle ne concerne plus exclusivement la version 7 du navigateur, mais également IE 5.01 avec le Service Pack 4, IE 6 avec ou sans le Service Pack 1 et enfin la beta 2 d'IE 8. Microsoft parle également de hausse très importante des attaques tout en déclarant que jusqu'à présent seul IE7 a été visé.

Et si la vulnérabilité est présentée comme critique c'est parce qu'elle ne nécessite pas d'intervention de l'utilisateur pour être exploitée. Microsoft travaille actuellement au développement d'un correctif. Ce dernier pourrait même être disponible en dehors du cycle habituel de mise à jour de l'éditeur. A défaut, aucun patch ne sera accessible avant le 13 janvier 2009.

Dans l'attente d'un correctif, l'éditeur recommande dans le paramétrage du navigateur (options Internet, onglet sécurité) de passer le niveau de sécurité à "haut". Le déclenchement d'un ActiveX ou de tout script provoquera alors l'affichage d'un message d'alerte sur le poste. Microsoft conseille également d'activer la fonction DEP (Data Execution Prevention) de l'OS dans les options de performance.