Microsoft a publié une alerte de sécurité pour aviser les utilisateurs d'une vulnérabilité encore non corrigée dans son navigateur Internet Explorer (IE), qui est exploitée dans le cadre d'attaques à cibles limitées.

La vulnérabilité jour-zéro (ou zero-day), qui est suivie sous le numéro CVE-2020-0674, est un problème de corruption de la mémoire dans le moteur de script du navigateur. Son exploitation pourrait permettre à des attaquants à distance d'exécuter le code de leur choix sur le système compromis.

La faille de sécurité de l'exécution de code à distance (RCE) affecte les versions 9, 10 et 11 d'IE fonctionnant sur toutes les versions de bureau et de serveur Windows prises en charge, tout comme Windows 7 qui n'est plus pris en charge. La vulnérabilité peut être exploitée par des attaquants qui vous incitent à visiter un site web malveillant via le navigateur, généralement en envoyant un courrier électronique. Elle pourrait en fin de compte permettre à des escrocs d'installer des programmes, de falsifier des données ou de créer de nouveaux comptes disposant des droits d'utilisateur complets sur le système affecté.

Du déjà-vu et une touche d'originalité

Si la plupart de ces éléments vous semblent familiers, c'est pour de bonnes raisons. Aussi récemment que septembre et novembre dernier, la société a divulgué deux autres vulnérabilités jour-zéro touchant le célèbre navigateur.

On note cependant une différence importante. Cette fois-ci, aucun correctif n'est disponible - pour le moment, en tout cas. Il semble plutôt que le correctif ne sera pas déployé avant le prochain Patch Tuesday (ou Mardi des correctifs), qui se tiendra le mardi 11 février.

« Microsoft est conscient de cette vulnérabilité et travaille sur un correctif. Notre politique standard est de publier les mises à jour de sécurité le mardi des mises à jour, le deuxième mardi de chaque mois », déclare le géant technologique.

En dehors de cela, on pense que la vulnérabilité pourrait être liée à une autre faille de type zero-day récemment révélée – touchant alors le navigateur Firefox. Mozilla a publié un correctif pour cette dernière au début du mois.

Que faire?

Il est possible de diminuer les risques que cette faille nouvellement découverte pose en limitant l'accès au composant JavaScript JScript.dll. Par ailleurs, Microsoft a noté que le risque d'exploitation est plus faible sur Windows Server, où Internet Explorer est, par défaut, verrouillé pour se protéger contre les attaques par navigateur. Ce mode restreint, appelé Enhanced Security Configuration (ou Configuration de sécurité renforcée), « peut réduire la probabilité qu'un utilisateur ou un administrateur télécharge et exécute un contenu web spécialement conçu sur un serveur », précise Microsoft.

Parallèlement, la Cybersecurity and Infrastructure Security Agency (CISA) américaine a publié son propre avertissement, encourageant les utilisateurs et les administrateurs à mettre en œuvre des solutions de contournement et à utiliser d'autres navigateurs jusqu'à ce qu'un correctif soit disponible.

En effet, le chef de la cybersécurité de Microsoft, Chris Jackson, a déclaré en 2019 qu'Internet Explorer constitue une « solution en matière de compatibilité ». En d'autres termes, il fonctionne souvent pour les entreprises qui en dépendent pour des raisons de compatibilité avec les applications web existantes. Ce navigateur ne représente peut-être pas la meilleure solution pour vos besoins quotidiens de navigation sur le Web.

Il y a quelques jours à peine, Microsoft a lancé son nouveau navigateur Edge, basé sur le chrome.