Un exploit ciblant le navigateur Web de Microsoft a été mis en ligne. L'éditeur Symantec a confirmé la validité de ce dernier pour les versions 6 et 7 d'Internet Explorer, même si le code ne fonctionne pas toujours correctement. Une version plus élaborée devrait permettre à des attaques à distance l'installation de malware sur l'ordinateur d'un utilisateur.
La faille est liée à une erreur de traitement de certains objets CSS ( Cascading Style Sheet ). Pour son exploitation, un utilisateur doit se rendre sur une page Web piégée contenant un code JavaScript malveillant. Symantec recommande de posséder une solution antivirus à jour, et en attendant la publication d'un correctif par Microsoft, de désactiver la prise en charge JavaScript et de ne visiter que des sites de confiance.
Le CERTA a également émis un bulletin d'alerte au sujet de cette vulnérabilité, tandis que pour l'heure, Microsoft n'a pas publié d'avis de sécurité. Reste que le risque est de niveau très bas pour Symantec, selon qui seuls les systèmes d'exploitation Windows 2000, Server 2003 et XP sont concernés. A priori pas Windows Vista donc, et encore moins Windows 7 où Internet Explorer est présent dans sa version 8. Les cybercriminels sont néanmoins friands de tels exploits qui touchent au navigateur Web.
La semaine dernière, le plugin Google Chrome Frame qui permet à IE d'exécuter le moteur de rendu de Google Chrome a été mis à jour afin de combler une vulnérabilité découverte avec l'aide de Microsoft, et via laquelle un exploit peut passer outre certains contrôles de sécurité. Microsoft avait déjà pointé du doigt ce plugin, arguant qu'il rendait IE moins sécurisé.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.