Sécurité : Microsoft corrige Internet Explorer dans l'urgence

A risques exceptionnels, mesure exceptionnelle. Microsoft diffusera en urgence une série de correctifs dans la journée (du 30 mars). Une mise à jour proposée hors cycle du bulletin mensuel, le fameux patch tuesday habituellement programmé le deuxième mardi du mois. Cette rustine d’urgence vise à combler les failles d’Internet Explorer (de la 5.01 SP4 à la 8) sur toutes les versions de Windows y compris 7 et Server 2008 R2 dans leurs éditions 32 et 64 bits.

Dans son alerte, Microsoft ne détaille pas les vulnérabilités qui affectent le navigateur. Dans la plupart des cas, l’exploitation des brèches de sécurité peut mener à exécuter du code localement avec, au final, la prise de contrôle à distance de la machine affectée. A noter que les menaces sont « critiques » dans tous les cas sauf pour IE8 sous Windows Server 2008 et 2008 R2 pour lesquelles elles sont jugées «modérées».

Difficile donc de déterminer les trous que boucheront ces nouveaux correctifs. Dans une précédente alerte émise en début de mois, Microsoft reconnaissait l’existence de failles «zero day» (sans correctif) au sein d’IE6 et 7 dont profitaient des pirates pour lancer des attaques. Il se pourrait donc bien que les correctifs du jour comblent, trois semaines après le début de l’alerte, les vulnérabilités du navigateur de la firme de Redmond.

Enfin, Microsoft profite de cette nouvelle tournée de replâtrage pour corriger des vulnérabilités critiques non publiques à ce jour sur toutes les versions d’Internet Explorer. Mise à jour des plus recommandée, donc.