Microsoft sort un correctif d’urgence pour Internet Explorer

Microsoft prévoit d’émettre une mise à jour hors-cycle traditionnel du Patch Tuesday, suite à une nouvelle série d’attaques ciblant Internet Explorer 7.

L’éditeur a émis une alerte pour notifier aux utilisateurs qu’une mise à jour ponctuelle sera disponible dès aujourd’hui mercredi pour réparer la faille de sécurité du navigateur Web, qui fait souvent l’objet d’attaques ciblées.

Cette vulnérabilité n’est censée exister que dans IE7. Les autres versions du navigateur ne seraient pas à risque. Selon l’éditeur de solutions de sécurité Trend Micro, cette faille se manifeste dans la gestion de certains fichiers texte ouvert dans l’application WordPad.

Lors du lancement d’un document spécialement paramétré, le logiciel plante. Cela permet au pirate d’accéder au système ciblé et d’exécuter du code à distance. De telles failles sont souvent exploitées par les pirates, qui ajoutent le code voulu aux pages Web, ou le déguise en fichiers à télécharger ou fichiers joints.

Un porte-parole de Microsoft a indiqué à Vnunet.com que ce correctif sera disponible vers 19h00 (heure de Paris) via le système de mise à jour automatique Microsoft Update.

Cette mise à jour est proposée une semaine seulement après la dernière mise à jour mensuelle de l’année. Celle-ci réparait 27 failles, dont certaines relatives à Internet Explorer.

Bien que relativement peu communes, ces mises à jours dites hors-cycle sont occasionnellement émises par Microsoft lorsqu’une faille est estimée trop sérieuse ou trop ciblée pour être incluse plus tard à la mise à jour programmée tous les mois.

Adaptation d’un article Vnunet.com en date du 17 décembre 2008 et intitulé Microsoft plans emergency IE7 patch.