Rebelote ! La découverte d’une faille critique Zero-Day dans Internet Explorer a contraint Microsoft à anticiper le prochain Patch Tuesday pour patcher en urgence. Seul le navigateur Edge de Windows 10 n’est pas affecté.
Selon le bulletin d’alerte de l’éditeur, une vulnérabilité expose les internautes, lors d’une simple visite sur un site Web piégé, à une exécution distante de code. Il s’agit de la faille zero-day (CVE-2015-2502), qui repose sur la façon dont Internet Explorer gère les objets dans la mémoire.
L’exploitation pourrait permettre à un pirate informatique d’obtenir les mêmes droits que l’utilisateur actif sur la session Windows, ce qui est bien sûr critique pour ceux utilisant leur machine en tant qu’administrateur… Selon Microsoft, aucun signe ne laisse penser que cette faille soit déjà exploitée pour des attaques et tant mieux car si cette dernière avait été intégré à un kit d’exploitation pirate, les dégâts auraient pu être conséquents. Un correctif est disponible dès à présent, à télécharger sur le site de l’éditeur ou directement via Windows Update.
Edge / Windows 10 à l’abri de la menace
Microsoft signale en outre que le navigateur Edge, le nouveau navigateur Web disponible par défaut sur Windows 10, n’est pas affecté par la faille de sécurité et en profite bien entendu au passage pour faire un petit coup de pub pour son nouveau OS :
« Nous recommandons à nos clients d’utiliser Windows 10 et le navigateur Microsoft Edge pour la meilleure protection »
Ce serait l’ingénieur Google Clement Lecigne qui a découvert cette vulnérabilité critique au sein d’Internet Explorer et il s’agit de la seconde fois que Microsoft doit procéder à la diffusion d’un correctif d’urgence “hors cycle” standard, la dernière fois étant du à une vulnérabilité exploitée par Hacking Team, diffusée après le piratage de la société italienne.
Les commentaires sont fermés.