La firme de Redmond publie un avis de sécurité. Une alerte pour prévenir qu'une vulnérabilité 0-day - sans patch correctif - est actuellement exploitée dans le cadre d'attaques ciblées. Microsoft fait mention d'un nombre limité d'attaques essentiellement dirigées à l'encontre de IE8 et IE9.
Microsoft évoque le scénario de la compromission d'un site de confiance régulièrement fréquenté ou le cas d'un attaquant qui pousse l'utilisateur à cliquer sur un lien dans un email ou un message instantané.
Pas de panique...
À défaut d'un patch en bonne et due forme diffusé auprès du plus grand nombre qui est en cours d'élaboration, Microsoft souligne que les versions récentes de son navigateur disposent de fonctionnalités de sécurité supplémentaires afin de faire barrage à des attaques.
Un Fix-It est proposé. Il fait référence au moteur de rendu MSHTML du navigateur. Il s'applique uniquement pour les versions 32 bits d'Internet Explorer. Ce genre de correctif temporaire à appliquer en un clic n'est pas diffusé automatiquement et il peut avoir l'inconvénient de limiter certaines fonctionnalités du navigateur.
Parmi d'autres mesures de contournement, Microsoft recommande notamment de régler les paramètres Active Scripting pour alerter l'utilisateur avant une exécution.
L'analyse de la société de sécurité Qualys confirme des attaques qui ciblent uniquement Windows XP et Windows 7 avec l'exécution d'IE8 et IE9. Pour le moment, l'attaque semble être limitée géographiquement au Japon.
