Une faille zero-day d'Internet Explorer ne sera pas corrigée sur Windows XP
lun, 28/04/2014 - 18:15
Une faille de sécurité a été découverte dans Internet Explorer version 6 à 11 par la société FireEye. L'existence de la faille est confirmée par Microsoft dans une alerte de sécurité.
Il s'agit d'une faille zero-day, c'est à dire une faille qui a été exploité avant qu'on la découvre officiellement. Selon FireEye, il existerait une campagne d'exploit baptisée Clandestine Fox.
La faille se situe dans la librairie vgx.dll utilisée pour le rendu des contenus vectoriels. Son exploit aboutit à la prise de contrôle à distance de l'ordinateur, avec les privilèges de l'utilisateur courant. Celui-ci ayant sous Windows les droits de l'administrateur bien souvent.
La vulnérabilité touchant les versions 6 à 11 d'Internet Explorer, il est estimé que plus de 50% des internautes sont vulnérables. En outre Outlook, est également touché, car ce client de messagerie utilise des composants d'Internet Explorer pour le rendu des messages HTML.
Microsoft travaille à un correctif. Toutefois, la faille ne sera pas corrigée sur Windows XP sauf si Microsoft décide finalement de faire une exception, car le support de ce système est officiellement terminée depuis le 8 avril dernier.
Cela signifie que les utilisateurs de XP, et ils sont encore nombreux, sont très vulnérables. Ils peuvent tenter de minimiser le problème en mettant en applications des suggestions de Microsoft données dans l'alerte de sécurité mentionnée ci-dessus - désinstallation de la librairie vgx.dll, installation d'EMET, etc. - ou bien ils doivent utiliser un autre navigateur qu'Internet Explorer.