Microsoft confirme une faille 0-Day sur Internet Explorer (MàJ)

La firme vient de confirmer l'existence d'une faille de sécurité sur les versions 6, 7 et 8 de son navigateur. Si Internet Explorer 9 et 10 ne sont pas concernés par la vulnérabilité, Microsoft indique qu'une mise à jour de sécurité, éventuellement hors-cycle, sera prochainement proposée aux utilisateurs.

Détaillée par FireEye la semaine dernière, l'existence d'une nouvelle vulnérabilité de type 0-Day a été confirmée par Microsoft. Dans une note, la firme précise que les versions 6, 7 et 8 d'IE sont concernées et que la vulnérabilité permet à une personne d'exécuter à distance un code malveillant lors de l'ouverture d'une page Web ou d'un e-mail contenant un malware.

Toujours est-il que la vulnérabilité permettrait d'accéder à la mémoire système d'un poste sous Windows (de XP à certains Windows Server 2008). Une fois un programme malveillant installé, la faille l'autoriserait à élaborer de nouvelles voies lui permettant à son tour de contaminer d'autres postes.

Pour l'heure, aucun correctif n'existe mais Microsoft n'exclut pas de délivrer une mise à jour de sécurité lors de son prochain Patch Tuesday. La firme évoque également la possibilité de proposer une rustine hors-cycle à ses utilisateurs. Elle explique enfin que la portée de cette découverte doit être relativisée puisqu'elle pourrait toucher dans une moindre mesure les utilisateurs qui ne sont pas administrateurs de leur machine.

Mise à jour

Comme prévu, un patch temporaire est proposé par Microsoft pour combler la vulnérabilité constatée sur les versions 6, 7 et 8 du navigateur Internet Explorer. Dans une note, la firme précise qu'il n'est pas nécessaire de redémarrer sa machine après avoir installé la mise à jour.

Microsoft précise également qu'à ce jour, peu de tentatives visant à exploiter cette faille de sécurité ont été observées.

Version initiale de l'article publié le 31/12/2012 à 11h14