La faille zero-day d’Internet Explorer finalement corrigĂ©e par Microsoft

Internet ExplorerLes utilisateurs de Windows XP recevront un patch, mĂȘme si Microsoft a mis fin au support public de son systĂšme d’exploitation il y a environ 3 semaines.

Trois semaines aprĂšs la date de fin de support de Windows XP, Microsoft a publiĂ© un correctif pour un Internet Explorer qui vient combler une faille critique de type zero-day. Bien que Windows XP ne soit pas directement concernĂ© puisque IE peut facilement ĂȘtre remplacĂ© par Chrome ou Firefox, Microsoft a fourni un patch pour les anciennes versions de son navigateur. La faille commençait en effet Ă  ĂȘtre activement exploitĂ©e par les pirates informatiques.

Cette vulnĂ©rabilitĂ©, qui affecte un paquet de versions d’Internet Explorer (de la six Ă  la onze), pourrait permettre Ă  un hacker d’exĂ©cuter Ă  distance du code sur un ordinateur infectĂ© si l’utilisateur visite une page web infectĂ©e en utilisant le navigateur de Microsoft. « Un attaquant qui parviendrait Ă  exploiter cette vulnĂ©rabilitĂ© pourrait obtenir les mĂȘmes droits d’administration que l’utilisateur actuel », indique le bulletin de sĂ©curitĂ© de l’Ă©diteur de Redmond.

Des attaques depuis des sites malveillants

La faille est en effet classée critique, le niveau le plus élevé dans les catégories de sécurité de Microsoft. Le scénario le plus probable pour compromettre les utilisateurs est la diffusion de liens vers des sites malveillants via des e-mails et des messages instantanés. Le patch sera automatiquement téléchargé et installé dans les ordinateurs Windows configurés pour recevoir les mises à jour logicielles de Microsoft. Les utilisateurs qui ne reçoivent pas ces mises à jour automatiques sont invités à installer immédiatement ce patch.

Bien que les utilisateurs de Windows XP ne sont plus censĂ©s obtenir ce type de correctif, puisqu’ils sont dĂ©sormais livrĂ©s Ă  eux-mĂȘmes depuis la fin du support du systĂšme d’exploitation le 8 avril dernier, Microsoft a dĂ©cidĂ© de faire une exception et de pousser cette mise Ă  jour pour XP.

« La sĂ©curitĂ© de nos produits est quelque chose que nous prenons trĂšs au sĂ©rieux. Quand nous avons vu les premiers rapports au sujet de cette vulnĂ©rabilitĂ©, nous avons dĂ©cidĂ© de la corriger et de la fixer rapidement pour tous nos clients », a dĂ©clarĂ© dans un communiquĂ© Adrienne Hall, directrice gĂ©nĂ©rale chez Microsoft en charge de l’activitĂ© Trustworthy Computing.

D’autres mises Ă  venir ?

Toutefois, cette dĂ©cision ne doit pas ĂȘtre interprĂ©tĂ©e comme une marche arriĂšre de l’Ă©diteur qui refuse toujours d’inclure systĂ©matiquement les utilisateurs de XP dans ses mises Ă  jour de sĂ©curitĂ©, selon Al Gillen, analyste d’IDC. Pour commencer, dans ce cas, la faille affecte IE, pas XP. Microsoft ne corrige pas l’OS lui-mĂȘme, a-t-il prĂ©cisĂ© Ă  nos confrĂšres d’IDG NS.

Dans un billet de blog sur le patch, Dustin Childs, responsable du groupe intervention chez Microsoft Trustworthy Computing, a rappelĂ© que XP n’est plus supportĂ© et que «nous continuons Ă  encourager les clients Ă  migrer vers un systĂšme d’exploitation moderne, tel que Windows 7 ou 8.1 » et bien sĂ»r IE 11, la derniĂšre version du navigateur web. Adrienne Hall a Ă©galement soulignĂ© que ce geste vis-Ă -vis des utilisateurs de XP Ă©tait une « exception » liĂ©e Ă  la fin rĂ©cente  du support du systĂšme d’exploitation. «  L’arrivĂ©e de cette mise Ă  jour ne signifie pas que vous devez arrĂȘter de penser Ă  la migration de Windows XP », Ă©crit-elle dans un billet de blog. Elle a Ă©galement pointĂ©, qu’il y a eu « un trĂšs petit nombre d’attaques » exploitant cette faille et que le danger avait Ă©tĂ© « exagĂ©ré ».

Toutefois, Michael Silver, analyste au Gartner, a indiquĂ© Ă  nos confrĂšres d’IDG NS qu’il ne serait pas surpris si Microsoft venait de nouveau Ă  la rescousse des utilisateurs de XP dans les six prochains mois si un autre grave dĂ©faut surgissait. Windows XP est encore utilisĂ© sur un peu plus d’un quart de tous les ordinateurs connectĂ©s Ă  Internet, selon Net Applications.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>