Microsoft va publier un correctif ce lundi pour les anciennes versions de son navigateur Internet Explorer, s'écartant ainsi de son calendrier normal de réparation en raison de la gravité du problème. Cette vulnérabilité, qui est présente dans IE 6, 7 et 8, est une faille de corruption de la mémoire. Elle peut être exploitée par un attaquant via un drive-by download, un terme qui désigne le téléchargement d'un site web avec un code attaquant qui fournit des logiciels malveillants sur le PC d'une victime qui se rend tout simplement sur le site. La firme de Redmond avait publié un correctif rapide pour régler cette question au cours du mois, mais un patch plus permanent n'était pas prêt au moment de la publication de sa série mensuelle de correctifs, mardi dernier. L'éditeur sort occasionnellement un correctif d'urgence si la vulnérabilité du logiciel est considérée comme un risque élevé. Des experts en sécurité ont réussi à contourner ce correctif temporaire.

« Bien que nous n'ayons vu qu'un nombre limité d'utilisateurs affectés par cette vulnérabilité, il se pourrait qu'elle touche davantage de personnes à l'avenir», a estimé Dustin Childs, responsable du Trustworthy Computing Group de Microsoft, sur le blog de l'entreprise.

9 vulnérabilités trouvées depuis 2009

Le patch, qui sera publié à 10 heures AM PST (Pacific Standard Time, 20 h heure française) sera distribué via Windows Update. Dustin Childs a précisé aux utilisateurs qu'ils n'auraient pas à désinstaller le correctif rapide avant d'appliquer le patch qui sera installé automatiquement pour ceux  dont les mises à jour automatiques sont activées.

Le fournisseur de sécurité Symantec a soupçonné un groupe appelé Elderwood d'être à l'origine de la faille car elle représente des similitudes avec d'autres code d'attaque.

Le groupe Elderwood a découvert pas moins de neuf autres vulnérabilités depuis 2009 et il semble qu'elles favorisent le ciblage de sociétés dans le domaine de la défense et des droits de l'homme,  d'organisations non gouvernementales et de fournisseurs de services informatiques, selon le rapport de sécurité publié en septembre par Symantec