Microsoft est au courant qu'une vulnérabilité critique se trouve dans les dernières versions du navigateur web Internet Explorer, et qu'elle est partiellement utilisée à des fins malveillantes, mais l'entreprise ne fournira pas de patch avant le 11 février.

Vous utilisez encore Internet Explorer pour vous balader sur le web, alors même que Microsoft vous recommande de l’abandonner ? Si c’est le cas, l’alerte de ces derniers jours va peut-être vous inciter à revoir votre position. En effet, l’entreprise américaine sait qu’il existe une vulnérabilité critique dans son navigateur, et qu’elle est exploitée partiellement à des fins malveillantes. Or, si un correctif est sur les rails, il ne sera pas disponible avant quelques semaines.

Ce sont les versions 9 à 11 d’Internet Explorer — donc les toutes dernières — qui sont exposées à la faille, détaille un bulletin de sécurité daté du 17 janvier. Celle-ci se trouve « dans la façon dont le moteur de script traite les objets en mémoire », et « pourrait corrompre la mémoire de telle manière qu’un attaquant pourrait exécuter un code arbitraire [à l’encontre] de l’utilisateur  », est-il expliqué.

Une faille critique a été repérée sur Internet Explorer, mais aucun patch n’arrivera dans l’immédiat. // Source : Numerama

Accès privilégié au PC

Si l’attaque réussit, l’attaquant peut récupérer les mêmes privilèges que sa cible — en clair, il aura le même degré d’autorité et de contrôle que l’utilisateur a sur son PC.

S’il a des droits d’administrateur, alors l’assaillant pourra prendre le contrôle de la machine, y installer des programmes, consulter des fichiers ou encore supprimer des données à sa guise. La simple visite d’un site peut suffire à exploiter cette vulnérabilité. Et pour inciter un internaute précis à aller sur cet espace piégé, il suffit de recourir à de l’ingénierie sociale, en lui envoyant un mail trompeur.

La bonne nouvelle, c’est que Microsoft travaille sur un patch afin de colmater la brèche. La mauvaise, c’est que l’éditeur ne le fournira pas avant le 11 février, date à laquelle la société mettra à disposition de ses clients les dernières mises à jour pour ses logiciels. En effet, le groupe les fournit traditionnellement le deuxième mardi du mois. La règle n’est toutefois pas figée : si la situation est particulièrement grave, il arrive à Microsoft de déroger à son calendrier mensuel.

Microsoft se concentre désormais sur Edge, le successeur d’Internet Explorer.

La vulnérabilité est présente sur toute une palette de versions de Windows, y compris les différentes moutures de Windows 10. On trouve aussi Windows 8.1, Windows 7, Windows Server 2019/2016/2012/2008 dans la liste des cibles potentielles. Pour limiter les dégâts, des solutions d’atténuation peuvent être provisoirement déployées en attendant le patch, qu’il faudra annuler lorsqu’il sera disponible.

Depuis février 2019, Microsoft conseille au public de délaisser Internet Explorer au profit de son successeur, Edge, ou, à défaut, pour l’un des autres grands navigateurs web, comme Chrome, Firefox, Safari ou Opera. Cependant, même si l’entreprise est en train de tourner la page d’IE, des mises à jour continuent d’affluer : la preuve avec la sortie, en septembre, d’un patch de sécurité critique. Mais cela ne durera pas.

Partager sur les réseaux sociaux

La suite en vidéo