Suite au rapport de FireEye, Microsoft a confirmé la semaine dernière l'existence d'une vulnérabilité non corrigée affectant Internet Explorer 10 et exploitée dans des attaques ciblées. Les vétérans de l'armée américaine ont été touchés ainsi que l'aéronautique française.

La firme de Redmond publie un avis de sécurité concernant cette faille qui affecte également IE9 mais pour lequel des attaques n'ont pas été repérées. Les autres versions d'Internet Explorer ne sont pas vulnérables :

IE-versions-vulnerables
IE9 et IE10 contiennent une vulnérabilité d'utilisation après libération qui implique l'objet CMarkup de la bibliothèque MSHTML (le moteur de rendu). Elle permet une exploitation de code arbitraire à distance. Elle est utilisée pour corrompre du contenu Flash afin de contourner des protections de sécurité via une fuite d'adresse mémoire.

Microsoft ne propose pas encore un patch définitif mais un Fix-it à appliquer afin d'empêcher toute exploitation du problème. Les autres solutions proposées par Microsoft sont l'installation de l'outil Enhanced Mitigation Experience Toolkit, un passage à Internet Explorer 11 qui est disponible pour Windows 7 et 8.

Rappelons que IE9 et IE10 comptabilisent à eux deux une part d'utilisation mondiale de plus de 18 % (Net Applications).