Et une faille zero day de plus pour la 10ème version d'Internet Explorer. C'est la société de sécurité américaine FireEye qui l'a détectée, mais a constaté aussi qu'elle était utilisée par des pirates. Microsoft a confirmé cette découverte. « Nous avons connaissance d'attaques ciblées contre Internet Explorer 10 », a expliqué un porte-parole de la firme de Redmond. Il a ajouté, « nous enquêtons et nous allons prendre des mesures appropriées pour protéger les clients ».
La détection de cette vulnérabilité intervient 2 jours seulement après l'ajout dans le Patch Tuesday d'un bulletin critique corrigeant 24 failles dans IE, dont 15 visées IE10. Le code de l'attaque, précise FireEye, était hébergé sur un site compromis basé aux Etats-Unis. La société souligne qu'il s'agit d'une attaque classique de contournement par téléchargement. Elle s'appuie sur un ActionScript Flash, le langage script d'Adobe, pour leurrer l'outil de sécurité ASLR (address space layout randomization) de Windows.
FireEye confirme qu'elle collabore actuellement avec les ingénieurs sécurité de Microsoft sur cette faille dans IE10 et les attaques connexes. Cette version du navigateur qui est souvent la cible d'attaques commence à perdre des parts de marché. En octobre dernier, Microsoft a lancé officiellement IE11 sur les terminaux sous Windows 8 y compris les tablettes. Par ailleurs, en novembre la firme a publié IE11 pour Windows 7 pour le substituer à IE10.
Une faille zero day active trouvée dans IE10
0
Réaction
FireEye a découvert que des cybercriminels utilisent une faille non corrigée dans IE10. Microsoft a confirmé cette vulnérabilité et prépare une rustine.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire