Passer au contenu

Une faille de sécurité zero day frappe toutes les versions d’Internet Explorer

Le navigateur Web de Microsoft est victime d’une faille de sécurité présente depuis IE6 jusqu’à Internet Explorer 11. L’exploit permet d’exécuter du code malveillant à distance.

Les failles zero day, qu’on découvre et qui n’ont pas été corrigées, sont rares. Celles qui touchent un logiciel majeur encore plus. Si Internet Explorer n’est plus le roi des navigateurs qu’il était au début des années 2000 son omniprésence dans Windows rend toute faille le concernant importante.

Samedi dernier, le 26 avril, Microsoft a confirmé l’existence d’une faille zero day dans toutes les versions d’Internet Explorer depuis sa version 6. Cette dernière avait été dévoilée le même jour sur le blog de la société de sécurité informatique FireEye et permettrait l’exécution à distance d’un programme malintentionné.

Si la faille est présente dès la version 6, il semblerait que seules les versions Internet Explorer 9 à 11 soient ciblées dans le cadre d’une attaque baptisée Operation Clandestine Fox.
FireEye ne souhaite pas, pour l’instant, donner plus de détails sur cette campagne pirate mais mettait en avant que les trois moutures du navigateur de Microsoft concernées représentent environ un quart du marché des fureteurs (Internet Explorer 9 : 8,76% ; IE 10 : 7,12% et IE 11 : 15,71%). A priori épargné IE 8 compte à lui seul pour 21,14% des navigateurs selon les chiffres de NetMarketShare.
Les utilisateurs de Windows XP pourraient être épargnés pour l’instant, puisque le système d’exploitation lancé en octobre 2001 n’est pas compatible avec les versions d’Internet Explorer au-delà d’IE 8. Pour autant, la faille existe bel et bien et Microsoft ne la patchera pas sur cet OS.

La faille utilise Flash pour accéder à la mémoire et outrepasser deux systèmes de protection intégré dans Windows : l’ASLR, Address Space Layout Randomization, et le DEP, Data Execution Prevention. Microsoft recommande aux utilisateurs d’installer la dernière version de l’Enhanced Mitigation Experience Toolkit et d’augmenter le réglage de sécurité de zone à Elevé. De son côté, FireEye précise que pour Internet Explorer 10 et 11 le mode de protection renforcé bloque l’exploit et que la désactivation du plugiciel Flash évite purement et simplement l’exécution de la faille.

A lire aussi :
Faire planter un réseau mobile national, c’est simple comme un coup de fil – 24/04/2014

Sources :
FireEye
Microsoft

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Pierre Fontaine
Les dernières actualités
Nintendo Switch
Nintendo : des Joy-Con magnétiques pour la Switch 2 ?
Smartphone Mains
Apple supprime des apps IA permettant de « dénuder » n’importe qui
Le démarchage téléphonique est désormais limité par de nouvelles règles entrées en vigueur le 1er mars dernier. appel telephone
Face au démarchage téléphonique, les Français ne prennent plus les appels des numéros inconnus
Iphone 14 Ifixit
Apple est accusée d’exploiter des « minéraux de conflit »
Shein site web textile plateforme
Shein, sous contrôle renforcé de l’UE, a quatre mois pour montrer patte blanche
Aptoide
Un magasin d’application alternatif célèbre sur Android arrive sur iPhone
Site Pirate Streaming Illegal
Torrent : dopé à l’IA, ce moteur de recherche anonyme est impossible à stopper
Glance
Un premier pas vers les pubs sur l’écran de verrouillage de smartphones Android pas chers aux États-Unis
Top téléchargements