Une ancienne version d'Internet Explorer, à savoir IE 8, n'a toujours pas reçu de correctif contre la faille zero-day découverte il y a de cela plus de 7 mois. Cette vulnérabilité permet à un utilisateur distant d'installer du code malveillant sur un ordinateur et d'en prendre le contrôle.
Pour tirer partie de cette faille, un attaquant doit parvenir à tromper une victime potentielle pour l'amener sur un site web conçu pour exploiter cette faille. Cela peut se faire, comme à l'accoutumée, par l'envoi d'un mail de phishing ou un message instantané contenant un lieu vers un site web frauduleux, permettant à l'attaquant, en cas de réussite, de prendre le contrôle de l'ordinateur de l'utilisateur.Â
Microsoft enjoint les utilisateurs à installer la rustine lancée en début de mois
Microsoft est au courant de cette faille, découverte par le chercheur belge Peter Van Eeckhoutte dans le cadre du programme Zero Day Initiative (ZDI) en octobre dernier mais depuis l'éditeur n'a rien fait pour la colmater. Pour se défendre, lla firme de Redmond indique qu'aucune exploitation de la faille n'a encore eu lieu et recommande aux utilisateurs de son navigateur (des versions 6 à 11) d'appliquer la rustine sortie en urgence en début de mois avant son Patch Tuesday. Lancé il y a 5 ans, IE 8 détient toujours selon Net Applications une part de 20% du marché des navigateurs Internet Explorer.
IE 8 : une faille zero-day vieille de 7 mois pas encore corrigée
Microsoft n'a toujours pas corrigé une faille de sécurité d'IE8 datant d'octobre 2013 alors que cette version de son navigateur totalise encore 20% d'utilisateurs sur sa plate-forme.