Microsoft corrige dans l’urgence une faille critique d’Internet Explorer

Microsoft a préféré de ne pas attendre le prochain bulletin de sécurité mensuel en septembre. L’éditeur vient de publier, en urgence, le correctif de sécurité MS15-093 afin de combler une faille critique qui frappe Internet Explorer. Référencée CVE-2015-2502, la vulnérabilité permet, par corruption de la mémoire, l’exécution de code distant par l’intermédiaire d’une page web spécialement créée à cet effet. Il faut donc que l’utilisateur soit amené à visiter cette page infectieuse. Une incitation souvent amenée par l’intermédiaire d’un message accrocheur dans un e-mail de phishing (à moins que l’attaque ne privilégie le vecteur d’une publicité corrompue).

« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur en cours », prévient l’éditeur de Redmond dans son alerte. Un utilisateur pourvu de droits d’administrateur risque donc de se voir plus impacté qu’un utilisateur aux droits limités. L’attaquant sera alors en mesure d’installer ce que bon lui semble sur la machine, d’en prendre le contrôle à distance et de récupérer toutes les données qui y sont stockées à loisir, voire de s’enfoncer dans le reste du réseau de l’entreprise.

Toutes les versions d’IE affectées

De IE7 à IE11, le bug de sécurité touche toutes les versions encore supportées (IE6 en est exclu) du navigateur historique de Microsoft. Son successeur Edge, exclusif à Windows 10, est visiblement épargné par le risque du jour. Mais si la faille d’IE est considérée comme critique pour les versions desktop de Windows Vista/7/10 et même RT (l’environnement dédié aux tablettes Surface sous architecture ARM), Microsoft la classe comme modérée pour les versions Server 2008, 2008 R2, 2012, 2012 R2. Windows Server 2003 n’étant plus supportée par Redmond depuis le 14 juillet, aucune référence n’y est faite. Mais il est très probable que la vulnérabilité y soit aussi présente.

Sur les environnements serveur, les paramètres d’IE sont préconfigurés par défaut pour limiter les surfaces d’attaque par exécution de code. D’où le classement modéré de la faille IE sur ces plates-formes par l’éditeur. Néanmoins, si les paramètres du navigateur ont été modifiés manuellement depuis la mise en route du serveur, il est possible que la vulnérabilité remonte au niveau critique. L’application du correctif est donc plus que recommandée, que ce soit automatiquement (par le service Windows Update généralement activé par défaut sur les postes utilisateurs) ou manuellement en téléchargeant le correctif adéquat (depuis cette page).

Lire également

Microsoft soigne la sécurité de son navigateur web Internet Explorer
Windows 10 : déjà la troisième mise à jour
Pourquoi Windows Server 2003 menace la sécurité du Web

crédit photo © i3d – shutterstock