IE 9 et 10 échappent à une faille 0-day

Commenter | Imprimer | RSS

• Se connecter pour évaluer

La vulnérabilité d’Internet Explorer dévoilée par Microsoft à la fin du mois de décembre dernier aura au moins un bon côté pour Microsoft. Limitée aux versions 6, 7 et 8 d’Internet Explorer, elle devrait pousser nombre d’utilisateurs à mettre à jour leur navigateur.

Lancée en mars 2011, la version 9 du navigateur web occuperait 21,35 % de parts de marché, selon les derniers chiffres de NetMarketShare. Son prédécesseur, IE 8, lancé en 2009, serait toujours devant avec 23,9 % de la navigation web. Quelque peu en retrait, IE 6, un navigateur vieux de douze ans, s’accaparerait néanmoins plus de 6 % du marché grâce notamment à une très forte présence en Chine, devançant les dernières versions de Safari (2,64 %) ou d’Opera (1,42 %) ainsi que IE 7 (2,11 %), sorti lui en 2006. La version 10 d’Internet Explorer (0,96 %) étant un peu à part puisque réservée pour l’instant aux utilisateurs de Windows 8.

Quelle est donc cette faille annoncée en toute fin d’année 2012 ? « Il s'agit d'une vulnérabilité d'exécution de code à distance qui existe en raison de la façon dont Internet Explorer accède à un objet en mémoire ayant été supprimé ou n'ayant pas été correctement attribué, explique Microsoft. Cette vulnérabilité pourrait corrompre la mémoire et permettre à un attaquant d'exécuter du code arbitraire dans le contexte de l'utilisateur actuel dans Internet Explorer. » Concrètement, le hacker diffuse le code malveillant sur un site web et essaie d’attirer un maximum d’internautes sur le site en question, via des liens envoyés par e-mails ou sur les réseaux sociaux.

Des sites américains infectés
Le risque est qualifié de « critique » par les équipes de l’éditeur qui ont déployé lundi 14 janvier, via Windows Update, un patch de sécurité permettant de corriger le problème. Auparavant, un premier patch temporaire avait été diffusé via l’outil de réparation Fix it. Ce correctif avait été contourné par les experts en sécurité d’Exodus Intelligence en seulement quelques heures… Dans tous les cas, l’entreprise conseille conseillait vivement à ses utilisateurs de passer par la case migration vers IE 9.

Si la firme de Redmond affirme qu’un nombre limité d’utilisateurs a été impacté, elle reconnaît que les dégâts potentiels sont importants. La faille a d’ores et déjà été exploitée pour attaquer les visiteurs du site internet du think tank américain Council on Foreign Relations (CFR). Selon le blog de l’éditeur de solutions de sécurité FireEye, le site aurait hébergé depuis au moins le 21 décembre, du code malicieux ciblant les internautes sous IE 8. D’après Eric Romang, spécialiste luxembourgeois en sécurité, le site du fabricant américain de turbine Capstone aurait été infecté depuis le 18 décembre. Un responsable d’Avast, Jindrich Kubec, a même confirmé avoir alerté Capstone sur l’activité suspecte détectée sur son site dès le mois de septembre.