IE et faille 0-day : Microsoft s'active pour un correctif

La semaine dernière, Microsoft a publié un avis de sécurité au sujet d'une vulnérabilité de code d'exécution à distance découverte dans les versions 6 et 7 d'Internet Explorer, et de faire état de cyberattaques ciblées. Pour la firme de Redmond, le bon conseil est de procéder à une mise à niveau vers la version 8 non vulnérable d'Internet Explorer.

Pour autant, Microsoft propose une mesure de contournement afin de limiter l'impact de ladite vulnérabilité. Elle consiste à enlever les droits d'accès à la bibliothèque logicielle iepeer.dll. Pour ce faire, il faut passer par la base de registre mais un Fix it permet d'automatiser la procédure ( pour Windows XP et Server 2003 ).

Le CERTA ( Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques ) précise que ce contournement peut avoir des " effets de bord sur certaines fonctionnalités étendues de MSHTML ( impression, répertoires Web ) ". À défaut d'installer la version 8 d'IE ( incluse dans Windows 7 ), le CERTA indique : " ce contournement fonctionne pour tous les vecteurs d'attaque ( page Web, document Office, etc. ) et est donc recommandé même si Internet Explorer n'est pas le logiciel par défaut utilisé pour la navigation ".

Alors qu'un code exploit a été rendu public, Microsoft vient de confirmer travailler à la correction du problème. Pour répondre à quelques critiques, Microsoft prend soin de souligner que ce correctif doit être testé pour toutes les versions affectées d'Internet Explorer sur toutes les versions de Windows supportées, et ce pour chaque langue prise en charge.

La décision de publier ou non ce patch en urgence, à savoir hors du cadre du Patch Tuesday, n'a pas encore été prise. Elle le sera en fonction des besoins des clients, mais le fait que Microsoft évoque cette possibilité plaide en sa faveur.