La dernière faille d'Internet Explorer corrigée par le ZERT

Un groupe de professionnels de la sécurité a en effet créé un correctif pour la récente faille 0-day, découverte dans le fureteur du géant des logiciels, qui est de plus en plus exploitée lors d'attaques par des personnes malveillantes.

Le groupe, qui se fait appeler la Zeroday Emergency Response Team - ou ZERT - a conçu ce correctif de manière à protéger les utilisateurs d'Internet Explorer en attendant le patch officiel de la firme de Redmond. Un porte-parole du Zert a indiqué vendredi : " Certains membres du groupe sentent que le risque associé à cette vulnérabilité est si grand qu'ils ne peuvent pas attendre un correctif. Des utilisateurs seront sans doute d'accord avec nous et appliqueront ce patch. "

La faille réside dans la façon dont IE gère certains graphiques. Certaines applications malicieuses peuvent être chargées, à l'insu de l'utilisateur, sur un ordinateur vulnérable lorsque celui-ci clique sur un lien contenu dans un site web ou bien dans un e-mail.

Ken Dunham de chez Verisign's iDefense a déclaré : " Les attaques se sont multipliées ces dernières 24 heures " et dans la plupart des cas, elles installent un logiciel espion, un adware ou un logiciel de prise de contrôle à distance de l'ordinateur de la victime.

Dans au moins un des cas observés, des personnes malintentionnées se sont infiltrées sur le réseau d'un hébergeur et ont redirigé 500 noms de domaine vers un site malicieux qui exploite cette brèche dans le navigateur de Microsoft, a t-il ajouté, expliquant qu'ainsi, " vous êtes en train de surfer sur Internet, et soudainement, vous êtes redirigés vers un site malicieux ". Il a encore précisé que des attaques via e-mail allaient probablement surgir très bientôt.

Bien que Microsoft soit au courant de ces attaques, le groupe a indiqué qu'il ne recommande pas d'installer un patch développé par un éditeur tiers. Un représentant officiel du numéro un des logiciels a indiqué dans un communiqué : " La meilleure façon de faire pour nos clients devrait être d'obtenir des mises à jour de sécurité et des indications de la part du vendeur du logiciel original. "

C'est donc la troisième fois cette année qu'un groupe a devancé Microsoft dans la fourniture d'un correctif. En janvier, un éditeur tiers bouchait une faille présente dans la manière dont Windows gère les images Windows Meta File, et en mars ( voir ici et là ), deux entreprises de sécurité sortaient des correctifs pour des bogues relatifs à la façon dont IE gère certaines balises dans les pages web.

Notez bien que le Zert propose ce correctif " sans garantie " et que vous l'utilisez " à vos risques et périls ".