Il ne faudra finalement pas attendre le Patch Tuesday de mai. C'est en urgence que Microsoft a décidé de diffuser une mise à jour de sécurité pour Internet Explorer afin de corriger une vulnérabilité critique. Toutes les versions du navigateur sont concernées, soit de IE6 à IE11.
Cette correction intervient cinq jours après un avis de sécurité et les informations de FireEye concernant une campagne baptisée " Operation Clandestine Fox " dans le cadre de laquelle des attaques ont ciblé des utilisateurs des versions 9, 10 et 11 d'IE sur Windows 7 et 8.
Les autorités américaines mais aussi britanniques avaient recommandé aux utilisateurs d'appliquer les mesures de contournement préconisées par Microsoft ou à défaut d'avoir recours à un navigateur alternatif, le temps que le problème soit résolu.
Pour la France, le CERT-FR avait aussi publié un bulletin d'alerte similaire, sans évoquer toutefois un navigateur alternatif, mais en rappelant les mesures de contournement provisoires de Microsoft dont la désactivation du composant Vector Markup Language ou Flash utilisés par les exploits dans la nature.
Cela étant, Microsoft avait souligné un " très petit nombre d'attaques " basées sur cette vulnérabilité qui a eu un écho médiatique inattendu, dépassant largement celui des sites et blogs spécialisés. Des inquiétudes exagérées selon ses dires.
Aussi pour Windows XP
Le gros problème était finalement que cette faille allait rester ouverte pour les utilisateurs de Windows XP puisque ce système d'exploitation n'est plus supporté par Microsoft depuis le 8 avril dernier ( cela implique la fin des mises à jour de sécurité pour IE sur Windows XP ).
Mais grosse surprise, le correctif est également disponible pour les utilisateurs de Windows XP ( mise à jour automatique ). Pour l'utilisateur lambda, Microsoft a donc fait une rare exception à la fin de support. Rappelons que des entreprises ou gouvernements peuvent payer Microsoft pour du support personnalisé mais les patchs ne sont pas divulgués publiquement.
Microsoft justifie sa décision très inhabituelle par la proximité entre la découverte de la vulnérabilité et la fin de support de Windows XP qui demeure un OS encore très répandu. Pour autant, c'est bel et bien une exception et Microsoft encourage les utilisateurs de Windows XP à passer à Windows 7 ou 8.1, et à utiliser IE11 qui est la dernière version d'Internet Explorer.
Hier, FireEye a rapporté une nouvelle version de l'attaque qui cible les ordinateurs Windows XP avec IE8. Par ailleurs, les attaques surtout concentrées sur des sociétés liées au secteur de la défense et de la finance ont été étendues au secteur de l'énergie et à diverses organisations gouvernementales.