Le Patch Tuesday datant de la semaine dernière a fait l'impasse sur la correction définitive d'une vulnérabilité 0-day affectant Internet Explorer, alors même que des exploits ciblent IE8 qui demeure la version du navigateur de Microsoft la plus utilisée.
La firme de Redmond propose certes une correction provisoire pour cette faille de dépassement de tampon, mais des chercheurs en sécurité de Exodus Intelligence sont parvenus à contourner le Fix it. Microsoft a assuré que le Fix it demeure toutefois efficace contre les attaques actives.
Pour cette vulnérabilité critique dont il faut souligner qu'elle affecte les versions 6 à 8 d'Internet Explorer mais pas les versions 9 et 10, Microsoft prévoit finalement une mise à jour hors cycle. Il ne faudra donc pas attendre encore un mois pour un patch en bonne et due forme.
Rapportée le 29 décembre 2012 dans un avis de sécurité de Microsoft, la vulnérabilité sera comblée dans la journée. La diffusion d'un patch est programmée pour ce jour aux alentours de 19h ( en France ).
" Nous recommandons d'installer cette mise à jour pour Internet Explorer 6 à 8 dès qu'elle sera disponible via Windows Update et nos autres canaux de distribution. […] Si vous avez appliqué le Fix it, vous n'aurez pas besoin de le désinstaller avant d'appliquer la mise à jour de sécurité "
, précise Dustin Childs, responsable de l'informatique de confiance chez Microsoft.