IE_logo Microsoft publie un avis de sécurité afin de confirmer l'existence d'une nouvelle vulnérabilité affectant toutes les versions supportées d'Internet Explorer. Microsoft fait état d'attaques pour le moment ciblées qui exploitent cette faille dont la principale conséquence est une exécution de code à distance.

Quand Microsoft indique que toutes les versions d'Internet Explorer sont concernées, il précise toutefois que la protection Data Execution Prevention ( DEP ) activée par défaut dans IE8 sous Windows ( XP, Vista et 7 ) permet de se prémunir contre les attaques. Par ailleurs, la version bêta d'IE9 n'est pas touchée par le problème.

Symantec rapporte des attaques ciblées impliquant la vulnérabilité dans IE6 et 7. Des utilisateurs reçoivent un e-mail avec un lien pointant vers une page Web spécifique hébergée sur un site légitime. Selon Symantec, les attaquants ont obtenu l'accès au compte du site et y ont placé du contenu à l'insu des propriétaires.

Le cas échéant, les utilisateurs sont sous la menace d'une attaque de type drive-by download avec l'exécution automatique d'un logiciel malveillant. Le malware ouvre une backdoor sur l'ordinateur infecté et contacte des serveurs distants.

Microsoft a estimé que la menace ne nécessitait pas une publication en urgence d'un correctif. Le géant du logiciel donne toutefois quelques recommandations comme activer DEP pour Internet Explorer 7 ( ce n'est pas le cas par défaut, contrairement à IE8 ), remplacer le style CSS d'un site Web par un CSS défini par l'utilisateur, lire les e-mails en texte non formaté ( plain text ), placer le niveau de sécurité à haut dans IE pour les zones Internet et Intranet afin de bloquer les contrôles ActiveX et l'Active Scripting.