IE_logo La firme de Redmond a un petit peu tardé, mais suite à la publication d'un code exploit et à la confirmation de Symantec, elle publie un avis de sécurité portant sur une vulnérabilité dans le navigateur Web Internet Explorer. Pour l'heure, en dépit d'un exploit amené à être perfectionné, aucune attaque ne serait à déplorer.

Selon les constatations de Microsoft, ladite vulnérabilité existe dans un pointeur de référence non valide d'Internet Explorer. Sous certaines conditions, il est ainsi possible d'accéder à un objet CSS/Style après que ce dernier ait été supprimé. La vulnérabilité peut être exploitée pour l'exécution de code arbitraire à distance.

D'après Microsoft, les versions 6 et 7 d'Internet Explorer sont vulnérables pour les systèmes d'exploitation Windows 2000, Windows XP ainsi que Windows Vista ( IE7 ), alors que Symantec avait indiqué que ce dernier OS n'était pas concerné. Microsoft précise néanmoins que l'activation du mode protégé ( par défaut ) de IE7 sous Windows Vista limite l'impact de la vulnérabilité.

Internet Explorer dans sa version 8 n'est quant à lui pas affecté par cette vulnérabilité, dont on notera qu'il est difficile d'évaluer la dangerosité. Risque par exemple de niveau très bas pour Symantec mais hautement critique pour Secunia.

Selon les dernières statistiques de Net Applications, la part de marché d'Internet Explorer dépasse 64 %.  La version la plus utilisée reste la 6.0 avec plus de 23 %, les versions 7.0 et 8.0 étant à égalité avec de l'ordre de 18 %.