Cyber-attaque : Microsoft livre, en urgence, un patch comblant la faille IE

Comme il l'avait annoncé hier, Microsoft a livré une rustine permettant de combler la faille exploitée pour pénétrer dans les réseaux de plusieurs entreprises américaines, dont Google. Le patch, sorti en dehors des cycles de mises à jour de sécurité habituelles de l'éditeur (Patch Tuesday) en raison de son urgence, concerne de nombreuses versions d'Internet Explorer : 5.01, 6 (y compris Service Pack 1), 7 et 8. Pour plus de détails, se reporter au bulletin de sécurité émis hier par Microsoft.

Une fois appliqué, le correctif doit aussi apporter une réponse aux méthodes de contournement de la fonction DEP (Data Execution Prevention), une des mesures temporaires recommandées par Microsoft pour se protéger des attaques en attendant la sortie d'un patch. Rappelons que la société française Vupen avait affirmé plus tôt dans la semaine avoir développé un exploit permettant de contourner cette protection. Cette technique n'avait toutefois pas été rendue publique.

Le premier éditeur mondial a aussi reconnu être au courant de la faille depuis août dernier ; il en avait été averti par une société israélienne, BugSec. Mais Jerry Bryant, du Microsoft Security Response Center, explique, dans un billet de blog, n'avoir été alerté par Google de l'exploitation de cette faille par des hackers que le 11 janvier seulement. Et ce, alors que le géant de la recherche a pourtant découvert l'attaque - attribuée à des hackers chinois proches du gouvernement - à la mi-décembre.

Dans la même rustine, l'éditeur comble sept autres failles, dont six qualifiées de critiques, le niveau le plus élevé dans la graduation définie par ses soins.