Mi-septembre, Microsoft a publié un avis de sécurité au sujet d'une vulnérabilité 0-day affectant toutes les versions d'Internet Explorer, de IE6 à IE11. La firme de Redmond avait alors rapporté des attaques ciblées à l'encontre de IE8 et IE9 sous Windows XP et Windows 7. De telles attaques ont essentiellement eu lieu au Japon contre des agences gouvernementales ainsi que des fabricants.

Ie9 La vulnérabilité de code d'exécution à distance s'appuie sur un problème au niveau du moteur de rendu MSHTML du navigateur. Un exploit en JavaScript dépend d'un fichier DLL Microsoft Office hxds.dll qui n'a pas été compilé avec la protection ASLR ( Address Space Layout Randomization ) activée.

Alors que le code d'attaque était déjà disponible pour ceux qui savaient où chercher, il est désormais facilement accessible aux professionnels de la sécurité mais également aux cybercriminels. En début de semaine, un module pour exploiter la vulnérabilité a en effet été ajouté au framework Metasploit.

La menace est donc devenue autrement plus sérieuse. Depuis le mois dernier, Microsoft propose un correctif temporaire sous la forme d'un Fix-It. Le prochain Patch Tuesday est programmé pour la semaine prochaine. À voir si Microsoft y inclura un correctif permanent qui sera diffusé auprès du plus grand nombre.

Source : Ars Technica