Dans une annonce publiée en fin de semaine dernière, Microsoft a confirmé la découverte d’une faille de sécurité affectant la version 8 de son navigateur Internet Explorer. La vulnérabilité est déjà exploitée par les pirates via les kits d’exploitations malveillants.
Cette vulnérabilité permet l’exécution de code à distance depuis des sites malveillants via IE 8 : un cas de figure qui se présente si l’utilisateur clique sur un lien menant vers une page web infectée, dans le cadre d’une attaque de type phishing (le lien est alors contenu dans un email ou un message instantané d’apparence légitime).
Pour pallier ce risque, Microsoft recommande aux utilisateurs de IE 8 de mettre à jour leur navigateur vers les versions 9 ou 10 qui ne sont pas concernées par cette vulnérabilité.
A défaut, Microsoft recommande de définir le niveau de sécurité le plus élevé pour la zone Internet (Outils > Options Internet > Sécurité). Cette action peut nécessiter l’ajout (manuel) de sites dans la zone “sites de confiance” pour en maintenir l’accès.
La faille a été évoquée pour la première fois par AlienVault Labs, qui a déclaré que le site du Ministère du Travail américain avait été piraté afin de propager un malware via ce 0-Day Internet Explorer (CVE-2012-4792 & CVE-2013-1347). Selon leur rapport, la cyber-attaque vise les sites appartenant à plusieurs groupes et instituts ainsi que des grandes entreprises européennes dans l’aérospatiale, de la défense et de la sécurité à but non lucratif. Le département de l’énergie est également touché.