Microsoft a publié un avertissement concernant une faille «jour zéro» récemment découverte dans Internet Explorer, la première découverte après la fin de vie de Windows XP. La vulnérabilité est présente dans toutes les versions du logiciel à partir d'Internet Explorer 6 (y compris 7, 8, 9, 10 et 11) et pourrait permettre l'exécution de code à distance si elle était exploitée..

Cela a poussé US-CERT, l'équipe américaine de préparation aux situations d'urgence informatique, et son homologue britannique, UK-CERT, à émettre un avertissement conseillant aux utilisateurs de Windows XP et à ceux qui ne peuvent pas suivre les recommandations de Microsoft d'utiliser un autre navigateur..

  • Fin de vie de Windows XP: Merci pour tous les poissons!

Détaillant la faille dans un article de blog, Microsoft écrit: "Cette vulnérabilité existe dans la manière dont Internet Explorer accède à un objet en mémoire qui a été supprimé ou qui n’a pas été correctement alloué. Cette vulnérabilité pourrait altérer la mémoire de manière à permettre à un attaquant exécuter du code arbitraire dans le contexte de l'utilisateur actuel dans Internet Explorer. "

Selon Microsoft, un attaquant cherchant à exploiter cette vulnérabilité via le Web serait tenu de créer un site Web spécialement conçu contenant du code et de convaincre les victimes potentielles de consulter ce site. Néanmoins, la société conseille à tous les utilisateurs d’exécuter un pare-feu activé, d’appliquer toutes les mises à jour logicielles et d’installer un logiciel anti-malware..

Réduire les risques

Un certain nombre de situations ont été décrites pour atténuer les risques pour l'utilisateur. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2 s'exécute dans un mode restreint appelé Configuration de sécurité renforcée qui réduit l'exposition à la faille..

De même, Microsoft Outlook, Microsoft Outlook Express et Windows Mail ouvrent des messages électroniques HTML dans la zone Sites sensibles, ce qui minimise à nouveau les risques..

Microsoft n'a pas encore publié de correctif pour résoudre le problème, pas plus qu'il n'a fourni de date à laquelle un correctif pourrait être disponible. Il a indiqué qu'une solution pouvait être fournie via son processus mensuel de mise à jour de sécurité ou via une mise à jour de sécurité hors cycle..

Les utilisateurs de Windows XP ne recevront pas de correctif pour cette vulnérabilité, la prise en charge du système d'exploitation s'étant terminée au début du mois..

  • 8 cybercrimes terrifiants de 2025