Une faille zero-day frappe IE 6, 7 et 8

Microsoft a publié un bulletin de sécurité daté du 3 novembre pour alerter les utilisateurs qu’une faille zero-day frappait Internet Explorer.

Selon Redmond, les versions 6, 7 et 8 du navigateur (toutes versions de Windows confondues) sont concernées par cette vulnérabilité qui, selon l'éditeur, permet l’exécution de code à distance. Il ajoute également dans son bulletin que ladite faille aurait déjà été exploitée pour mener une campagne d’attaques contre certaines entreprises. L’exploit ne serait toutefois pas utilisable, précise l’éditeur, si IE 8 a été installé dans sa configuration par défaut (avec la fonction DEP activée).

Selon le site Secuser.com, “l'exploitation d'une erreur dans la gestion des feuilles de style (.CSS) peut permettre à un individu malveillant ou à un virus d'exécuter à distance du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page web piégée”.

Cette vulnérabilité, classée critique par l’éditeur, n’a pour l’heure pas été corrigée.