Une nouvelle faille de sécurité détectée sous Internet Explorer

Microsoft a confirmé que la version 7 n’est pas la seule version d’Internet Explorer (IE) vulnérable à une nouvelle attaque de type « zero day ». Des versions plus anciennes courent le même risque.

IE 5 et 6 ont également été déclarées comme vulnérables à cette faille qui, correctement exploitée, peut donner à un hacker le contrôle complet du système. « À ce jour, Microsoft a uniquement connaissance d’attaques limitées visant à exploiter cette vulnérabilité sous Internet Explorer 7 », a expliqué la firme de Redmond.

« Selon l’enquête effectuée, ces attaques n’affectent pas les clients qui ont appliqué les solutions de contournements décrites dans le plus récent de de nos avis de sécurité. En outre, certains facteurs peuvent augmenter la difficulté d’exploitation de cette vulnérabilité ».

La faille cible un composant d’Internet Explorer 7 gérant les balises XML. Lorsque la page confirme que l’utilisateur se sert d’un navigateur et d’un système d’exploitation vulnérables, une balise infestée est chargée.

« Un éditeur de solutions de sécurité qui se contente de recenser les failles rendues publiques ne peut détecter complètement les attaques », estime Carsten Eiram, spécialiste de la sécurité chez Secunia.

« Les utilisateurs ne doivent pas naviguer avec IE en s’imaginant en sécurité. Le réglage le plus élevé du niveau de sécurité Internet pourra vous protéger jusqu’à un certain point. Si vous utilisez de plus les suggestions de Microsoft relatives à la sécurité de son navigateur, vous devriez pouvoir garder le contrôle de votre système ».

Adaptation d’un article Vnunet.com en date du 13 décembre 2008 et intituléInternet Explorer flaw worse than thought