Faille Internet Explorer : le patch temporaire est déjà contourné

La semaine dernière, Microsoft annonçait la disponibilité d'une mise à jour temporaire visant à colmater une faille 0-Day constatée sur plusieurs versions d'Internet Explorer (versions 6 à 8). Selon des spécialistes, cette rustine serait inefficace puisqu'ils indiquent être parvenu à la contourner.

Après avoir reconnu l'existence d'une faille 0-Day sur les versions 6, 7 et 8 d'Internet Explorer, Microsoft avait mis en ligne un patch temporaire de sécurité visant à colmater la vulnérabilité constatée. Cette dernière permettrait d'accéder à la mémoire système d'un poste sous Windows (de XP à certains Windows Server 2008). Une fois un programme malveillant installé, la faille l'autoriserait à élaborer de nouvelles voies lui permettant à son tour de contaminer d'autres postes.

En utilisant un poste sous Windows XP doté d'une version 8 du navigateur Internet Explorer pleinement à jour, les équipes d'Exodus Intelligence indiquent avoir réussi, en seulement 6 heures, à contourner la mise à jour provisoire proposée par Microsoft. Dans une note, ils ajoutent qu'ils ont justement opté pour des voies différentes permettant de rendre la mise à jour inefficace.

La société ajoute qu'elle a déjà notifié ses découvertes à la firme de Redmond afin qu'elle puisse déployer un nouveau patch à l'ensemble des utilisateurs du navigateur.

La mise à jour de sécurité pour le mois de janvier n'inclut pas le patch temporaire. Microsoft pourrait toutefois presser le pas et déclencher éventuellement la publication d'un patch « hors cycle » pour déployer cette mise à jour. Jusqu'à présent, l'éditeur s'est voulu rassurant et a tenu à préciser que peu de tentatives visant à exploiter cette faille de sécurité avaient été observées.