[ad_1]

Les attaquants font irruption Microsoft Windows ordinateurs utilisant une vulnérabilité récemment découverte dans Internet Explorer, avertissent les experts en sécurité. Bien que la faille semble avoir été utilisée principalement dans des attaques ciblées jusqu’à présent, cette vulnérabilité pourrait être plus largement exploitée si elle était intégrée dans des kits de logiciels criminels commerciaux vendus dans le clandestin.

IEavertissementDans une publication de blog Vendredi soir, fournisseur de sécurité basé à Milpitas, en Californie FireEye dit avoir découvert que le site Web du Conseil des relations étrangères a été compromis et truqué pour exploiter une faille auparavant non documentée dans IE8 afin d’installer des logiciels malveillants sur des PC vulnérables utilisés pour naviguer sur le site.

Selon FireEye, l’attaque utilise Adobe Flash pour exploiter une vulnérabilité dans la dernière version (entièrement corrigée) d’IE8. Dustin Childsresponsable de groupe pour les communications de réponse chez Microsoft, a déclaré que la vulnérabilité semble exister dans les versions précédentes d’IE.

« Nous enquêtons activement sur les rapports d’un petit problème ciblé affectant Internet Explorer 6-8 », a déclaré Childs dans un communiqué envoyé par courrier électronique. «Nous prendrons les mesures appropriées pour aider à protéger les clients une fois notre analyse terminée. Les personnes utilisant Internet Explorer 9-10 ne sont pas impactées.

Comme le note FireEye, il s’agit d’un autre exemple d’attaque «point d’eau», qui implique la compromission ciblée de sites Web légitimes considérés comme intéressants ou fréquentés par les utilisateurs finaux appartenant à des organisations que les attaquants souhaitent infiltrer. Plus tôt cette année, j’ai écrit sur des attaques zero-day similaires contre les visiteurs des sites Web du National Democratic Institute, du Carter Center et de Radio Free Europe.

Mise à jour, 30 décembre, 9 h 25 HE : Microsoft a officiellement reconnu cette vulnérabilité dans un avis, qui contient des conseils pour les utilisateurs d’IE sur la façon d’atténuer la menace. Comme les versions 9 et 10 d’IE ne sont pas affectées, les utilisateurs exécutant Windows Vista ou supérieur peuvent effectuer une mise à niveau vers la dernière version du navigateur. ici.

Mise à jour, 1er janvier 20h56 HE : L’avis de Microsoft inclut désormais un lien vers une solution provisoire « FixIt » cela peut aider à atténuer les attaques jusqu’à ce que l’entreprise publie un correctif officiel pour cette vulnérabilité.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *