IE de plus en plus troué, Microsoft prépare une rustine hors Patch Tuesday
Internet Explorer finit 2008 cribblé par une faille Zero-day. Après avoir touché IE 7, la faille s'est étendue aux versions antérieures du navigateur, et prend du coup un air un peu plus menaçant. Microsoft prépare un correctif en dehors de son Patch Tuesday.
Internet Explorer termine l'année sur un grand vide. La faille découverte la semaine dernière dans la version 7 du navigateur Microsoft s'ouvre désormais à tous, frappant également les versions antérieures du navigateur.
L'information a bel et bien été confirmée par Microsoft jeudi 11 décembre dans un bulletin, alors que le feuilleton de l'exploit en question, comme le relatent nos confrères de CNIS, a débuté la veille le mercredi 10, depuis la Chine.
Ironie du sort, la propagation, et avec, la progression des infections, intervient 24 heures après la publication du dernier « Patch Tuesday », la sacro-sainte fournée mensuelle de l'éditeur.
Outre IE 7, ce sont désormais IE 5.01 avec le Service Pack 4, IE 6 avec ou sans le Service Pack 1 et enfin les bêta 2 d'IE 8 dans toutes les versions qui restent ouvertes béantes à cette forme d'attaque. Microsoft a par ailleurs ajouté cette dernière mouture dans une mise à jour du bulletin datées du 12 décembre. Allongeant de jour en jour la liste des utilisateurs frappés par cette faille.
Microsoft, afin de clarifier les faits et d'inviter les utilisateurs à ne pas céder à la panique, ajoute toutefois que les seules attaques qui lui sont remontées, ont été réalisées sur IE7 dans ses versions XP Service Pack 2, XP Service Pack 3, Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2, Windows Vista, Windows Vista Service Pack 1, et enfin Windows Server 2008. Et de nuancer finement que le nombre d'attaques restaient ainsi limitées. Les autres versions du navigateur ne sont que potentiellement vulnérables, explique ainsi l'éditeur.
La menace est d'autant plus importante que l'infection ne nécessite pas l'intervention d'un utilisateur, comme l'indique WebSense, spécialiste de la sécurité, qui trace la propagation de l'exploit. La faille réside simplement dans la façon qu'a IE de traiter le code XML. L'utilisateur visite un site infecté et télécharge un cheval de Troie. Selon Websense, le site chinois d'Abit, un fabricant connu de cartes mères pour PC, aurait notamment été infecté.
Microsoft pourrait bien terminer 2008 en distillant un correctif en dehors de ses phases traditionnelles de publication de rustines. Le prochain patch tuesday est en effet prévue le 13 janvier. Un mois après les premiers exploits, autant dire une éternité...