Nouvelle faille "zéro day" pour Internet Explorer

Dimanche, Microsoft a confirmé avoir découvert un bogue dans VBScript permettant à un assaillant d'injecter du code infectieux sur des machines utilisant le couple Windows XP / IE 7 ou 8. Le mécanisme de l'attaque a été révélé par Maurycy Prodeus, un chercheur polonais travaillant pour iSEC Security Research.

Dimanche, Microsoft a confirmé avoir découvert un bogue dans VBScript permettant à un assaillant d'injecter du code infectieux sur des machines utilisant le couple Windows XP / IE 7 ou 8. Le mécanisme de l'attaque a été révélé par Maurycy Prodeus, un chercheur polonais travaillant pour iSEC Security Research. Notons toutefois que l'attaque, qui exploite aussi les fichiers d'aide du navigateur de Redmond, nécessite l'intervention de l'utilisateur (qui doit visiter une page Web spécifique et répondre à une boîte de dialogue).

Dans un billet de blog, Jerry Bryant, du Microsoft Security Response Center (MSRC), explique que l'éditeur n'a pour l'heure détecté aucune attaque exploitant cette vulnérabilité.

En janvier, Google et bien d'autres entreprises américaines avaient été piratés grâce à l'exploitation d'une faille d'Internet Explorer. Plusieurs pays, dont la France, avaient même recommandé l'emploi de navigateurs alternatifs. Microsoft avait alors dévoilé en urgence un correctif, sorti en dehors des cycles de mises à jour de sécurité habituelles de l'éditeur ("Patch Tuesday"), pour de nombreuses versions d'Internet Explorer : 5.01, 6 (y compris Service Pack 1), 7 et 8.

Pour approfondir sur Editeurs

Close