Internet Explorer 8 victime d’une faille zero day

Une nouvelle faille critique vient frapper le vieillissant Internet Explorer 8, alerte Microsoft. La brèche, répertoriée CVE-2013-1347, induit une gestion mémoire erronée, en l’occurrence lorsque le navigateur tente d’accéder à un objet mal alloué ou supprimé entre deux accès, ce qui peut entraîner corruption, indique ITespresso.fr.

Prise de contrôle distante

Exploitable via une page Web malveillante, utilisée pour injecter du code arbitraire, la vulnérabilité ouvre la prise de contrôle à distance du PC hôte, avec le niveau de privilèges de la session en cours. Si l’internaute surfe en tant que simple utilisateur, les dégâts seront limités.

De plus, la victime devant nécessairement visiter de son plein gré le site infecté, elle y est généralement invitée via un lien hypertexte dissimulé dans un courrier électronique. A l’utilisateur de redoubler de vigilance.

Cependant, la faille est actuellement exploitée, à en croire les experts en sécurité d’Invincea, qui ont constaté que plusieurs sous-domaines du département américain du Travail servaient de relais de diffusion.

Migrer vers IE9 ou 10

Microsoft note que le mode d’exécution sécurisé de Windows Server 2003/2008/2008 R2 limite l’impact de cette faille qui pourrait néanmoins faire l’objet d’une mise à jour hors cycle, en amont du Patch Tuesday prévu aux alentours du 14 mai.

La firme de Redmond recommande d’opter pour une version ultérieure d’Internet Explorer (9 ou 10) ou à défaut, d’utiliser un remède de fortune : l’Enhanced Mitigation Toolkit. De son acronyme EMET, cet outil restreint les niveaux d’accès au système par les applications.

Les spécialistes se sont toutefois montrés circonspects quant à son efficacité. En outre, des incompatibilités logicielles peuvent en contrarier le déploiement.

crédit photo © Aleksandr Bedrin – Fotolia.com

Voir aussi
Quiz Silicon.fr – Imbattable sur le navigateur web Internet Explorer ?