Un patch correctif pour la faille 0day d’Internet Explorer 6 à 8

Oracle n’est pas la seule société à avoir diffusé un patch de sécurité en dehors du cycle habituel. Microsoft a lui aussi publié un correctif pour colmater une brèche de type 0day dans Internet Explorer 6 à 8.

Internet Explorer 10, épargné par la faille

Dans les premiers jours de la nouvelle année, Microsoft a annoncé au sein d’un bulletin de sécurité qu’Internet Explorer était vulnérable à de nouvelles attaques. Le navigateur s’était vu diagnostiquer une faille de type 0day, autrement dit déjà exploitée lors de sa découverte. Le seul facteur limitant est qu’elle était uniquement dans les versions 6 à 8 du navigateur, mais Windows XP, Vista et 7 étaient tous concernés, de même que les éditions Server 2003 et 2008 du système. Pour être à l’abri, Internet Explorer 9 au moins devait être présent, ce qui ne laissait aucun espoir à Windows XP.

Pour juguler la faille, qui résidait dans la gestion de la mémoire et pouvait être exploitée par n’importe quelle page spécialement conçue, l’éditeur avait publié une solution « Fix It ». Il s’agit toujours d’un remède temporaire conçu généralement pour modifier une ou plusieurs clés de registre. L’impact est alors mitigé mais une telle solution ne remplace jamais un correctif en bonne et due forme.

C’est la raison pour laquelle Microsoft distribue depuis aujourd’hui un patch pour corriger le problème. Si vous avez installé au minimum Internet Explorer 9 ou que vous avez déjà Windows 8 (fourni avec la version 10 du navigateur), vous n’êtes pas concerné. Tous les autres sont invités à installer cette mise à jour qui se fait d’ailleurs en dehors du cycle habituel (les fameux Patch Tuesdays).