Microsoft vient d'annoncer qu'une faille de sécurité de type « 0-day » avait été identifiée dans Internet Explorer 6, 7 et 8, que ce soit sous Windows XP, Vista ou 7. La société de Redmond est sur la brèche, mais aucun correctif n'est disponible pour le moment.
La faille dévoilée par Microsoft est de type « 0-day », ce qui signifie qu'elle est d'ores et déjà exploitée. En effet, la société de Redmond annonce qu'elle « a connaissance d'attaques ciblées qui tentent d'exploiter cette vulnérabilité via Internet Explorer 8 ». De plus, elle ajoute qu'Internet Explorer 6 et 7 sont également touchés, mais que les moutures 9 et 10 sont épargnées. Du côté des systèmes d'exploitation, Windows XP, Vista et 7 ainsi que Windows Server 2003 et 2008 sont concernés.
La faille se situe dans la gestion de la mémoire du navigateur qui, via une page web spécialement conçue, permet d'exécuter du code à distance avec les mêmes droits que l'utilisateur identifié sur la machine. Microsoft recommande donc à ses clients concernés d'éviter de suivre un lien envoyé par un inconnu via un mail ou bien depuis une messagerie instantanée : il pourrait conduire à une page piégée.
À l'issue de l'enquête qui est en cours, la société annonce qu'elle prendra « des mesures appropriées afin de protéger ses clients », soit via un patch inclus dans le cycle des mises à jour classique qui a lieu tous les mois, soit de manière autonome.
