En bref : Microsoft corrige en urgence une faille d’Internet Explorer

C'est à l'aide d'un petit correctif de type Fix It que Microsoft propose de se protéger de la nouvelle faille découverte dans Internet Explorer pour les versions 6, 7 et 8. Simple à appliquer, cette solution reste toutefois temporaire en attendant une véritable mise à jour du navigateur. © Futura-Sciences 

Découverte la dernière semaine de l'année 2012, une faille critique d'Internet Explorer (versions 6, 7 et 8) a été colmatée par Microsoft grâce à un correctif à appliquer d'un seul clic. Malheureusement, celui-ci n'est que temporaire.

Il n'aura pas fallu longtemps à Microsoft pour réagir, preuve que le danger était réel. L'éditeur de Redmond vient en effet de publier un correctif pour son navigateur Internet Explorer, afin de combler une faille de sécurité critique annoncée le 29 décembre dernier par l'intermédiaire d'un bulletin de sécurité spécial.

Il faut dire qu'il y avait urgence, puisque Microsoft reconnaissait que cette faille était déjà exploitée pour des attaques malveillantes de type « 0-day », c'est-à-dire sans qu'il existe de protection pour les contrer. Cependant, toutes les versions d'Internet Explorer n'étaient pas touchées. Le problème concernait en effet les versions 6, 7 et 8 sous Windows XP et Vista, mais pas Internet Explorer 9 sous Windows 7 ni Internet Explorer 10 sous Windows 8.

Une nouvelle faille de sécurité touche le navigateur Internet Explorer. Mais seulement dans ses versions 6, 7 et 8 utilisées sous Windows XP et Vista. Les utilisateurs de Windows 7 et Windows 8 ne sont pas concernés. © Microsoft 

Concrètement, à cause de cette faille située au niveau de la gestion de la mémoire par le navigateur, un pirate pouvait prendre le contrôle d'un PC si son utilisateur visitait une page piégée ou cliquait sur un lien malicieux (dans son logiciel de courrier électronique ou de messagerie instantanée). De quoi faciliter la propagation d'un ver ou d'un virus ou subtiliser des informations personnelles comme des codes d'accès ou un numéro de carte bancaire.

Une simple rustine pour le moment

Avant de publier son correctif en début de semaine, Microsoft conseillait d'effectuer une vérification des paramètres de sécurité d'Internet Explorer afin de les régler en position maximale pour bloquer l'exécution de scripts ActiveX. Le patch proposé depuis, de type Fix It, permet de combler la faille sans avoir à redémarrer l'ordinateur.

Mais attention : il ne s'agit que d'une simple rustine, une solution provisoire qui modifie quelques clés du registre de Windows, mais qui est loin de résoudre totalement le problème. Il faudra sans doute attendre pour cela le 8 janvier ou le 12 février 2013, date des prochains Patch Tuesdays, ces jours de diffusion de correctifs pour l'ensemble des logiciels Microsoft. On trouvera peut-être des mises à jour spécifiques aux versions 6, 7 et 8 d'Internet Explorer. Alors seulement, ces versions seront définitivement protégées contre cette faille de sécurité.