Internet Explorer victime d'une nouvelle vulnérabilité critique… sans correctif

Une vulnérabilité de nature critique a été découverte dans les navigateurs Internet Explorer 6 et 7. Microsoft émet une alerte de sécurité mais pas encore de correctif.

L’éditeur Microsoft annonce l’existence d’une nouvelle faille critique sur Internet Explorer 6 et 7. Les deux navigateurs de la firme de Redmond seraient même déjà victimes de cyber-attaques.

La vulnérabilité permet d’injecter un code malveillant dans un PC sous Windows. Microsoft n’a pas corrigé la faille dans son dernier Patch mais recommande chaudement de passer à la version 8 du navigateur Internet, lequel n’est pas affectée par la vulnérabilité. Un motif pour bénéficier de « fonctionnalités de sécurité améliorées ».

A la loupe, la faille serait relative à un pointeur de référence non valide. Une erreur de traitement de certaines données dans le module iepeers.dll permettrait à un attaquant d’héberger un site Web contenant une page exploitant la vulnérabilité. Il restera donc à attirer la victime potentielle sur ce site pour tenter de pirater sa machine.

Au lieu de la traditionnelle rustine, l’éditeur émet un avis de sécurité en détaillant certaines des mesures de contournement de la faille. Microsoft précise à ce titre que le navigateur IE7 semble moins concerné par la faille grâce au mode de navigation protégée de Windows Vista, qui permettrait de diminuer l’impact d’une éventuelle attaque.

Toujours est-il que rien ne dit si un patch hors cycle sera édité par Microsoft. D’autant que la prochaine mise à jour de sécurité devrait intervenir le 13 avril prochain, soit dans 5 semaines. En attendant, les attaques risquent de se multiplier…