Un patch d'urgence pour la faille d'Internet Explorer

Comme nous vous l’indiquions le 15 décembre dernier, Microsoft n’attendra pas janvier pour diffuser un patch corrigeant la faille critique frappant Internet Explorer. Preuve que la menace est sérieuse, le correctif a été diffusé ce mercredi soir, en dehors du cycle mensuel.

Cette vulnérabilité critique a été identifiée par les éditeurs de sécurité le 11 décembre dernier, 24 heures après la publication du dernier bulletin de sécurité mensuel de Microsoft. Pour être exploitée, la faille ne nécessite pas d’interaction de la part de l’utilisateur, la simple visite d’un site Web piégé permet d’infecter sa machine via l’installation discrète d’un cheval de Troie pour ensuite dérober des informations personnelles.

La faille serait liée à la prise en charge de XML par IE dont toutes les versions sont impactées même si la 7 semble particulièrement visée. Elle a été évoquée pour la première fois sur des forums de discussion chinois.

Le 15 décembre, Microsoft indique que la vulnérabilité est largement exploitée sur la Toile, l’éditeur de sécurité TrendMicro évoque 6.000 sites piégés. Ils seraient 10.000 aujourd’hui.

Face au danger, on pourra saluer la réactivité de Redmond qui aura mis huit jours pour fournir une solution aux utilisateurs. Il est très rare qu’une faille « soit publiée sans que nous soyons prévenus avant »afin de la corriger, a souligné Bernard Ourghanlian, directeur technique de Microsoft cité par l’AFP, le dernier incident « aussi grave » remontant à 2006.

Inutile de souligner l’importance de ce patch…