Microsoft a publié une mise à jour critique pour Internet Explorer. Toutes les versions actuellement supportées du navigateur sont touchées et les utilisateurs sont enjoints à aller chercher le correctif dans Windows Update.
Les mises à jour de sécurité pour Windows sont le plus souvent distribuées le deuxième mardi de chaque mois, dans ce que l’on a coutume d’appeler les Patch Tuesdays. Il arrive cependant qu’en cas de faille majeure et/ou déjà exploitée, le cycle soit cassé et qu’un correctif soit mis à disposition, sans attendre le Patch Tuesday suivant. C’est souvent le signe qu’il ne faut pas attendre pour l'installer, l’éditeur ne bousculant pas ses habitudes sans raison.
Dans le cas présent, il s’agit d’un correctif pour Internet Explorer. Toutes les versions en cours de support sont touchées :
- Internet Explorer 7 : Vista, Windows Server 2008
- Internet Explorer 8 : Vista et Windows 7, Windows Server 2008 et 2008 R2
- Internet Explorer 9 : Vista et Windows 7, Windows Server 2008 et 2008 R2
- Internet Explorer 10 : Windows 7, 8 et RT, Windows Server 2008 R2 et 2012
- Internet Explorer 11 : Windows 7, 8.1, RT 8.1 et 10, Windows Server 2008 R2 et 2012 R2
La version intégrée à Windows 10 est donc touchée, et même si Edge n’est pas concerné, le correctif est tout aussi important. On notera que le bulletin de sécurité mentionne un niveau critique pour l’ensemble des Windows clients, et modéré pour les serveurs. Comme d’habitude, le type de compte joue une grande importance et ceux qui ont des droits classiques (donc non administrateurs) seront moins impactés.
La vulnérabilité elle-même réside dans la manière dont le navigateur accède à certains objets en mémoire. Il peut donc y avoir corruption de cette dernière, permettant à un pirate de faire exécuter un code arbitraire à distance. Deux précisions cependant. D’une part, la faille ne peut pas être exploitée automatiquement et l’attaquant a besoin de conduire l’utilisateur à cliquer sur un lien dans une page spécialement conçue. D’autre part, il n’y a pas d’escalade de privilèges et le code exécuté dispose donc des mêmes droits que le compte actif.
Sachez par ailleurs que la faille a été découverte et documentée par Clement Lecigne de chez Google, remercié par Microsoft pour l'occasion.
La méthode la plus rapide reste de télécharger le correctif dans Windows Update. Ceux qui préfèrent récupérer un exécutable d’installation pourront cependant le faire depuis cette page.
