Internet Explorer est encore utilisé dans 7 % des PC, et une défaillance critique du navigateur sous Windows 7, 8.1, 10 et Server est exploitée dans le cadre d'”attaques ciblées limitées”, selon Microsoft. La société promet une solution, mais seulement en février ; d’ici là, elle suggère de prendre certaines mesures pour atténuer les risques.
Microsoft indique à TechCrunch qu’il est “conscient des attaques ciblées limitées” dans Internet Explorer et travaille sur un correctif, qui ne sera publié que le 11 février. Il s’agit du Patch Tuesday, qui regroupe les mises à jour de sécurité et de stabilité, généralement publiées le deuxième mardi de chaque mois.
La vulnérabilité réside dans la manière dont un moteur de script manipule les objets en mémoire dans Internet Explorer 9, 10 et 11. La faille permet de corrompre la mémoire du navigateur, de sorte qu’un attaquant pourrait exécuter du code à distance sur le PC de la victime, explique Microsoft.
Si l’utilisateur concerné a des droits d’administrateur, l’intrus a la liberté de consulter, de modifier ou de supprimer des données, et d’installer des programmes sur l’ordinateur. Pour ce faire, le pirate devrait héberger un site web spécialement créé pour exploiter cette vulnérabilité et convaincre un utilisateur de l’ouvrir, par exemple, en lui envoyant un courriel.
L’agence américaine suggère d’utiliser Edge ou un autre navigateur
Microsoft classe le problème d’Internet Explorer comme “critique” dans Windows 10, Windows 7, Windows 8.1 et Windows RT ; et comme “modéré” dans Windows Server 2008, Server 2012, Server 2016 et Server 2019.
La CISA (Cyber Security and Infrastructure Agency), une division du département américain de la sécurité intérieure, a émis un avertissement concernant l’échec de l’IE. Il suggère “d’utiliser Microsoft Edge ou un autre navigateur jusqu’à ce que les correctifs soient disponibles”.
Bien qu’IE ne soit pas mis à jour, Microsoft suggère de désactiver l’accès au fichier jscript.dll, où se trouve la vulnérabilité ? il est nécessaire de suivre les étapes de ce lien. Il rappelle que IE11, IE10 et IE9 utilisent un autre fichier par défaut (jscript9.dll).
On pense que ce bogue est similaire à celui publié par Mozilla la semaine dernière : Firefox 72 permettait au code JavaScript malveillant de s’exécuter en dehors du navigateur. Microsoft et Mozilla ont tous deux déclaré que la vulnérabilité avait été découverte par la société de sécurité chinoise Qihoo 360.
Selon NetMarketShare, Internet Explorer était utilisé sur 7,44 % des PC connectés à Internet à la fin de 2019, contre 66,64 % pour Google Chrome et 8,36 % pour Firefox.
