Nouvelle faille de sécurité critique dans Internet Explorer

Le 26 avril, Microsoft a publié une alerte de sécurité afin de révéler la découverte d’une vulnérabilité critique affectant les différentes versions de son navigateur, Internet Explorer. Il s’agit d’une faille Zero-Day, c’est-à-dire faisant d’ores et déjà l’objet d’attaques informatiques. Ces attaques sont de type « drive-by ». « Microsoft a connaissance d’attaques limitées et ciblées qui tentent d’exploiter une vulnérabilité dans les versions 6 à 11 d’Internet Explorer », indique l’éditeur dans son avis de sécurité. Selon la firme de Redmond, ces attaques ont été lancées contre des utilisateurs d’IE dirigés vers des sites web malveillants. Ces attaques « drive-by » sont parmi les plus dangereuses, car il suffit que l’utilisateur accède à une URL pour que son navigateur soit piraté.

L’éditeur précise donc que la vulnérabilité affecte les versions de 6 à 11 d’Internet Explorer, ainsi que les différentes versions de Windows, en-dehors du noyau Server de Windows. Pour Windows Server, IE n’est vulnérable que si les attaques sont réalisées depuis des sites configurés comme appartenant à la zone de confiance du navigateur.

La faille a été signalée à Microsoft par l’éditeur de sécurité FireEye. Selon ce dernier, si la vulnérabilité affecte l’ensemble des versions du logiciel, les attaques observées sont elles spécifiques aux versions 9, 10 et 11 d’IE. Ces attaques contournent les mécanismes de sécurité DEP et ASLR de Windows.

Toujours selon FireEye, l’attaque exploiterait un fichier SWF Adobe Flash. L’éditeur, comme Microsoft, ne précise cependant pas si l’absence de Flash suffit pour prévenir une exploitation. A noter que IE 10 et 11, intégrant Flash, seraient dès lors vulnérables par défaut.

Comment freiner les attaques ?

Les utilisateurs de Windows XP peuvent compliquer un peu la tâche des attaquants qui tenteraient d’exploiter la faille d’IE en installant l’outil « Enhanced Mitigation Experience Toolkit 4.1 » (EMET) disponible sur le site de Microsoft. L’avis de sécurité détaille d’autres mesures permettant de limiter les risques, par exemple « désenregistrer » le fichier vgx.dll. Cette bibliothèque de liens dynamiques .dll est un des modules utilisés par Windows et IE pour le rendu de graphismes vectoriels (VML ou Vector Markup Language). Les utilisateurs de Windows XP peuvent aussi éviter les attaques contre IE en optant pour un autre navigateur, Google Chrome ou Firefox de Mozilla, qui continueront à recevoir des mises à jour de sécurité pendant les 12 prochains mois au moins.

source : ZDNET, LeMondeInformatique.fr