Microsoft a lancé une alerte sur une menace exploitant une faille non corrigée dans IE. Dustin Childs, porte-parole de Microsoft et responsable du Trustworthy Computing group (branche sécurité de l'éditeur) avait précisé hier dans un blog, « il n'y a qu'un nombre limité de rapports sur des attaques ciblées visant spécifiquement IE 8 et 9, même si le problème pourrait potentiellement affecter toutes les versions du navigateur ». Il a ajouté, « nous travaillons activement à produire une mise à jour de sécurité pour résoudre ce problème ».
Aujourd'hui, Dustin Childs a indiqué dans un autre message qu'effectivement toutes les versions d'IE étaient touchées, depuis IE 6 âgé de 12 ans jusqu'à IE 11, le navigateur qui équipera Windows 8.1 à sa sortie le 17 octobre prochain. Andrew Storms, directeur de DevOps chez CloudPassage, est dépité : « On ne pourra pas échapper à celui-ci », explique-t-il en se référant au bug affectant toutes les versions d'IE. Il ajoute que « un zero-day n'est jamais une bonne chose surtout lorsqu'il affecte toutes les versions ». Microsoft n'a pas utilisé ces termes, mais la faille peut être exploitée en utilisant des tactiques d'attaques de type « drive by ». Cela signifie que les pirates n'ont besoin que d'attirer les victimes vers des sites malveillants pour détourner leur navigateur.
Des solutions de secours
Jusqu'à ce que Microsoft produise un correctif, la firme propose plusieurs options pour se protéger, y compris des conseils sur la configuration d'EMET 4.0 et l'outil Fixit pour « caler » la DLL qui contient le moteur de rendu d'IE. EMET (Enhanced Mitigation Experience Toolkit) est un outil à destination des professionnels de l'IT qui veulent configurer manuellement l'ASLR (address space layout randomization) et DEP (Data Execution Prevention) pour des applications spécifiques.
Pour les utilisateurs individuels, Microsoft a publié un lien vers l'outil Fixit sur son site de support. Il suffit de cliquer sur activer pour modifier la bibliothèque de base d'IE et notamment une DLL nommée « Mshtml.dll » qui contient le moteur de rendu du navigateur. Cette rustine ne corrige pas la faille, mais protège le navigateur contre des attaques. Enfin dernière solution à envisager, l'abandon temporaire d'IE pour un autre navigateur comme Chrome ou Firefox.
Microsoft n'a pas indiqué quand il prévoit de corriger la vulnérabilité. Le prochain Patch Tuesday est programmé dans plus de 3 semaines. Il est donc possible que la firme de Redmond fournisse un correctif avant le 9 octobre prochain. Ces mises à jour anticipées sont rares. La dernière a été émise le 14 janvier pour réparer une faille dans IE 6,7 et 8.
Une faille zero day touche toutes les versions d'IE
Microsoft a indiqué que des pirates ont exploité une vulnérabilité non corrigée dans Internet Explorer. La firme a précisé que ses ingénieurs travaillent sur un patch sans donner de date de mise à jour.