Microsoft publie un avis de sécurité au sujet d'une vulnérabilité de sécurité affectant les versions 6 à 9 de son navigateur Internet Explorer. La version 10 n'est par contre pas touchée alors que des rapports font état d'attaques ciblées pour exploiter la faille.

Selon la firme de Redmond, il s'agit d'une vulnérabilité d'exécution de code à distance. Elle est liée à un problème dans la manière dont IE accède à un objet qui a été supprimé ou qui n'a pas été alloué correctement.

" Un attaquant pourrait héberger un site Web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer puis convaincre un utilisateur de consulter le site ", explique Microsoft. La société de sécurité Secunia attribue à la faille un niveau de dangerosité maximal.

Ie9 Sur son blog, le chercheur en sécurité Eric Romang indique avoir découvert un exploit 0-day qui utilise Flash Player et passe outre la protection ASLR ( Address Space Layout Randomization ) dans Windows. L'exploit permet alors de délivrer le malware Poison Ivy connu pour voler des données.

L'attaque exploitable sous Windows XP semble provenir du même groupe responsable le mois dernier d'un exploit Java 0-day. Rapid7 a confirmé un exploit 0-day pour IE7, 8 et 9 sous Windows XP, Vista et 7 et conseille de se tourner vers un autre navigateur en attendant un correctif de Microsoft.

Dans son avis de sécurité, le géant du logiciel donne toutefois quelques conseils pour atténuer les risques.