Microsoft a publié ce week-end un avertissement au sujet d’une faille dans Internet Explorer. Si la nouvelle est en soi habituelle, elle devient plus inquiétante quand il s’agit de prise de contrôle à distance. En outre, de nombreux utilisateurs de Windows XP n’auront droit à aucun correctif en raison de la fin du support de cette version du système d’exploitation de Microsoft.
Présente dans toutes les déclinaisons d’Internet Explorer estampillées 6 à 11, la faille dévoilée par Microsoft permet à un pirate d’exécuter du code à distance en bénéficiant des privilèges utilisateur de la personne qui se trouve devant la machine attaquée — donc, le plus souvent, les droits d’administration. Elle permet, virtuellement, une prise de contrôle pure et simple. Elle n’est, par contre, pas complètement béante : il faut, comme souvent, que l’Internaute se risque sur un site développé pour exploiter la faille en question. On note cependant que les versions 9 à 11 d’Internet Explorer sont déjà visées.
Et si les versions du navigateur destinées à des systèmes d’exploitation encore supportés devraient être protégées par une salve de mises à jour prochaines, il est évident que Windows XP, qui a d’ailleurs cessé d’apparaître dans le détail des OS concernés, ne bénéficiera d’aucune mise à jour de sécurité. On peut donc craindre que des pirates construisent des sites autour de l’exploitation de la faille et tentent d’attirer du trafic, notamment par de fausses campagnes email, dans le but de pêcher de nombreux « poissons » encore sous XP, plus vulnérables.
On note, néanmoins, que l’exploitation de la faille passe, selon FireEye, par l’utilisation du flash. Renoncer à ce dernier pourrait donc combler la faille — une stratégie qui n’est toutefois pas confirmée par Microsoft.