Microsoft a publié aujourd’hui une mise à jour logicielle d’urgence pour corriger une faille de sécurité critique dans toutes les versions prises en charge de son Internet Explorer navigateur, de IE7 à IE 11 (cette faille ne semble pas être présente dans Bord Microsoftle nouveau navigateur de Redmond et destiné à remplacer IE).
Selon le conseil qui accompagne le correctif, il s’agit d’une vulnérabilité de navigation et d’acquisition, ce qui signifie que les utilisateurs d’IE peuvent infecter leurs systèmes simplement en naviguant sur un site Web piraté ou malveillant. Les utilisateurs Windows doivent installer le correctif, qu’ils utilisent ou non IE comme navigateur principal, car les composants IE peuvent être appelés à partir de diverses applications, telles que Microsoft Office. Le correctif d’urgence est disponible via Windows Update ou à partir de Site Internet de Microsoft.
L’avis de Microsoft ne dit pas si cette faille est activement exploitée par des attaquants, mais les experts en sécurité d’une société de gestion des vulnérabilités Qualys dire que c’est déjà fait.
« La vulnérabilité (CVE-2015-2502) est activement exploitée dans la nature », a écrit Wolfgang Kandekdirecteur technique de Qualys, en un article de blog à propos de la mise à jour. « Le code d’attaque est hébergé sur une page Web malveillante que vous ou vos utilisateurs devriez visiter pour être infecté. »
Selon Qualys, les attaquants utilisent un certain nombre de mécanismes pour augmenter leur portée cible et attirer les utilisateurs vers la page Web, notamment :
- héberger l’exploit sur des réseaux publicitaires, qui sont ensuite utilisés par des sites Web tout à fait légitimes
- prendre le contrôle de sites Web légitimes, par exemple des blogs, en exploitant les vulnérabilités du logiciel du serveur de blogs ou simplement des informations d’identification faibles
- configurer des sites Web spécifiques pour l’attaque et manipuler les résultats des moteurs de recherche
- vous envoyer un lien vers le site par e-mail ou autres programmes de messagerie
« Maintenant que la vulnérabilité est révélée, nous nous attendons à ce que le code d’attaque se répande largement et soit intégré dans les kits d’exploitation et les cadres d’attaque », a écrit Kandek. « Corrigez le plus rapidement possible. »
Le correctif intervient une semaine seulement après que la société a publié une multitude de mises à jour IE et d’autres correctifs pour les failles de sécurité dans Windows et les composants Windows dans le cadre de son cycle de correctifs mensuel régulier Patch Tuesday (le deuxième mardi de chaque mois). L’avis attribue à un employé de Google le signalement de la vulnérabilité.
Mise à jour, 18 h 10 HE : Ajout des commentaires de Qualys.