Internet Explorer 7 est victime d’une nouvelle faille

Malgré un correctif publié, le navigateur permettrait aux pirates de voler des mots de passe et autres données d’utilisateurs.

Selon nos confrères d’EweekEurope.fr, des cybercriminels utiliseraient une vulnérabilité d’Internet Explorer 7 pour dérober des données d’utilisateurs. Des hackers utiliseraient la manière dont IE7 gère les erreurs lors de l’exécution de code à distance.

Cette nouvelle faille est véhiculée par des moyens que l’on peut dire traditionnels. A savoir un spam. Selon l’éditeur Trend Micro, la vulnérabilité permet « l’exécution de code à distance via un pourriel véhiculant un fichier ‘.doc’ contenant un objet ActiveX qui accède automatiquement à un site contenant un code HTML malveillant » appeléHTML_DLOADER.AS.

Le code exploite alors une vulnérabilité du navigateur grâce à un fichier DLL fraîchement installé.

Jake Soriano, spécialiste de la sécurité chez l’éditeur, interrogé par notre confrère, explique : « Ce fichier utilise un script très limité, ce qui semble indiquer que les attaques sont particulièrement ciblées. Il contient un objet ActiveX qui accède automatiquement à un site contenant un code HTML malveillant« . Traduction, le port 443 rendrait capable l’exploitation de cette porte dérobée.

Il est particulièrement étrange que de nouvelles failles apparaissent malgré des correctifs ad hoc mis en ligne par les éditeurs. Malgré la popularité croissante de navigateurs concurrents comme Firefox et Google Chrome, IE demeure le plus utilisé et, par conséquent, le plus attaqué. Un succès qui expose le navigateur aux menaces.