Logo Microsoft Pro Compte tenu de la correction de sept vulnérabilités de sécurité signalées de manière confidentielle à Microsoft, le nombre de corrections est plus important que l'on aurait pu l'imaginer. Mais si cette mise à jour cumulative pour toutes les versions d'Internet Explorer a été publiée en urgence, c'est bel est bien pour combler une faille rendue publique.

C'est probablement la première fois qu'une faille IE bénéficie d'une telle médiatisation. La " faute " à Google et à la cyberattaque à l'encontre de son réseau venue de Chine, et pour laquelle IE a servi de vecteur, plus particulièrement la version 6. Une médiatisation peut-être à outrance avec les recommandations de centres de veille comme le CERTA français ( également en Allemagne, en Australie ) qui ont été largement reprises.

Le CERTA, qui s'adresse avant tout aux organismes de l'administration, a ainsi conseillé dans l'attente d'un correctif de délaisser temporairement Internet Explorer pour un autre navigateur. Sauf que ce n'est pas franchement une recommandation atypique pour le CERTA, qui dans le cadre de vulnérabilités 0-day critiques touchant divers produits ( IE, Firefox, Adobe Reader... ), formule ce genre de conseil.

Ladite vulnérabilité est aujourd'hui comblée et Microsoft conseille à tous ses clients qui utilisent des versions actuellement supportées de Windows et Internet Explorer d'appliquer la mise à jour de sécurité aussi tôt que possible. Elle permettra aussi de protéger toutes les applications qui ont recours à mshtml.dll comme moteur de rendu. La firme de Redmond n'a eu vent que d'attaques limitées ciblant IE6, et avance que IE8 est une version beaucoup plus sécurisée.


Bien avant les attaques
On pourrait croire que Microsoft tend le bâton pour se faire battre car le géant du logiciel a indiqué avoir eu connaissance de la médiatique vulnérabilité dès le mois septembre 2009 ( confirmation début septembre ), et donc bien avant les premières attaques informatiques attribuées à la Chine ( en décembre ). Voilà qui risque encore de faire parler. Mais c'est toujours un peu le même problème, tant qu'il n'y a pas de preuve d'un début d'exploitation, et a priori il n'y a pas de raison dans le cadre d'une divulgation confidentielle, difficile de donner la priorité absolue à l'élaboration d'un correctif. Vaste débat s'il en est.

Pour mener une attaque exploitant la vulnérabilité d'exécution de code à distance, l'assaillant doit par exemple attirer l'utilisateur IE sur une page Web qui héberge un malware spécialement conçu à cet effet. Plusieurs sociétés de sécurité ont constaté l'apparition de tels malwares, et pour Trend Micro : " plutôt que de cibler seulement des organisations, il y a maintenant des attaques qui frappent les utilisateurs ordinaires ".

La mise à jour cumulative de sécurité pour Internet Explorer est notamment diffusée via Windows Update.


Le bulletin de sécurité de Microsoft