Microsoft vient de corriger une vulnérabilité sérieuse détectée par Google. Située dans le navigateur Internet Explorer, elle est déjà exploitée.

Ce n’était pas une mise à jour prévue au planning de Microsoft, mais il a fallu faire une exception. Ce mercredi 19 décembre, la firme de Redmond a dû sortir en urgence un correctif — d’habitude, la disponibilité des patchs est programmée chaque deuxième mardi du mois — pour son navigateur web Internet Explorer.

Versions à 9 à 11 d’IE concernées

Si vous utilisez IE dans ses versions 9 à 11, il est bien entendu conseillé de récupérer sans tarder la rustine (en vous rendant dans l’utilitaire de mise à jour de Windows, Windows Update) afin d’éviter qu’elle serve à des actions malveillantes à votre encontre. Il s’avère en effet que la brèche est déjà exploitée.

« Les clients qui ont activé Windows Update et qui ont appliqué les dernières mises à jour de sécurité sont protégés automatiquement. Nous encourageons nos clients à activer les mises à jour automatiques », écrit Microsoft. Les détails techniques de l’incident sont livrés dans une page dédiée.

Le logo d’IE.

Google a donné l’alerte

« Un attaquant qui a exploité avec succès la vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel », explique le géant des logiciels. Si celui-ci a des droits d’administration par exemple, on devine aisément les dégâts que cela pourrait causer. La faille est exploitable à distance via un site conçu à cette fin.

C’est Google qui a alerté Microsoft de l’existence de cette vulnérabilité. La firme de Mountain View est très active dans la traque des failles de sécurité : elle dispose d’ailleurs d’une équipe dédiée de très haut niveau, mise en place en 2014, qui cherche les failles dites « zero day », celles qui désignent les faiblesses qui ne sont pas documentées, parce qu’elles sont inconnues ou à peine découvertes.

Partager sur les réseaux sociaux