A Noël, exécutez du code à distance sur Internet Explorer

Réveillon tendu en perspective pour les responsables sécurité informatique des entreprises. Microsoft vient d’émettre une nouvelle alerte de sécurité. Celle-ci affecte les versions 6, 7 et 8 de son navigateur Internet Explorer. « La conséquence principale de la vulnérabilité est l’exécution de code à distance », prévient l’éditeur qui poursuit ses investigations sur cette faille désormais publique et qui risque donc d’être exploitée à tout moment.

« Il existe une vulnérabilité due à la création de la mémoire non initialisée lors d’une fonction de CSS dans Internet Explorer, explique l’entreprise de Redmond. Il est possible sous certaines conditions que la mémoire serve d’effet de levier pour un attaquant qui exploiterait une page Web spécialement conçue pour exécuter du code à distance. »

En attendant un prochain correctif, l’éditeur émet quelques recommandations pour renforcer la sécurité des systèmes : choisir le mode protégé dans IE depuis Windows Vista pour limiter les droits utilisateur (et donc le pouvoir de l’attaquant sur la machine affectée); laisser le mode restreint (restricted mode) par défaut d’IE dans Windows Server 2003 et 2008 quite à configurer à la main l’accès aux sites web; ne pas activer les scripts et autres contrôles ActiveX depuis les clients de messagerie Outlook, Outlook Express et Windows Mail pour limiter l’impact éventuel d’un code contenu dans un courriel envoyé au format HTML.

Bref, des recommandations de base qui s’ajoutent aux indispensables outils de sécurisation habituels (antivirus, firewall…) et de la nécessité de faire preuve de bon sens (en évitant de cliquer aveuglément sur les liens « inconnu »). Une autre solution serait d’utiliser un navigateur alternatif à Internet Explorer mais selon la politique des entreprises, ce n’est pas toujours possible. Même à Noël?