Pas de repos sur le front des hackers. Toutes les versions du navigateur de Microsoft, de la 6 à la 11, présentent une faille classé critique... et déjà exploitée par des pirates ! 58 % des navigateurs sont menacés. Elle sera prochainement corrigée, sauf pour Windows XP.
Une faille dans la gestion d'objets en mémoire depuis la version 6 et jusqu'aux plus récentes d'Internet Explorer (IE), le navigateur internet de Microsoft, permet d'exécuter du code à distance sur un PC sous Windows, pour par exemple en prendre le contrôle.
La faille est probablement liée au fichier vgx.dll de compatibilité des objets vectoriels. Elle concerne les version 6 à 11 d'IE, soit 58 % des internautes, selon NetMarketshare qui mesure les parts de marché des navigateurs internet. Outlook est également menacé, puisque le service de messagerie lit les mails au format HTML via IE.
Fichier ouvert... il est trop tard !
Les premières attaques, dévoilées par le laboratoire de sécurité FireEye et nommées Clandestine Fox, ont révélé que les versions 9, 10 et 11 sont les plus touchées. Des messages spammés invitent l'internaute à visiter une page web, bien évidemment compromise. L'inconscient qui cède à l'offre mafieuse voit la mémoire de son PC compromise par un fichier SWF (Flash). Les protections ASLR et DEP de Windows sont ensuite contournées. Le hacker se retrouve ainsi avec les mêmes privilèges que l'utilisateur !
Pas de correction pour XP
Microsoft prépare un patch pour combler la faille. Mais ce dernier ne concernera pas Windows XP, soit encore 18% des internautes. Nous vous avions prévenus (lire « Windows XP : après la réduction, Microsoft veut faire peur »). IE6, 7 et 8 sont également concernés.
Comment se protéger ? Quelques conseils en attendant le mise à jour annoncée par Microsoft : sensibiliser encore et encore les utilisateurs aux dangers du web, en particulier ne pas ouvrir les mails douteux ; désactiver Flash (images dynamiques et animées), mais rien de démontre que cela marchera ; et dans Outlook lire les mails au format texte.
Plus radicalement, désinstaller IE et adopter un navigateur concurrent, idem pour Outlook...