Microsoft a publié mercredi un bulletin de sécurité concernant une faille critique 0-day (comprendre par là qu’elle est déjà exploitée) sur son navigateur Internet Explorer en versions 6 et 7. Les utilisateurs sont incités à mettre à jour vers la dernière version en date : IE8.

La faille en question permet d’utiliser une référence vers un pointeur invalide afin d’obtenir des droits d’exécution sur la machine, allant jusqu’au même niveau que les droits de l’utilisateur local. Le résultat peut s’avérer particulièrement dangereux si le compte utilisé est un compte administrateur, par exemple : le code malveillant aurait alors un accès sur l’intégralité de la machine !

L’utilisation de comptes utilisateur limités ainsi que de l’User Account Control sous Windows Vista et 7 permet de réduire les effets de cette faille critique (déjà largement exploitée, notamment par des virus de type backdoor comme le souligne l’éditeur de logiciels de sécurité McAfee). Néanmoins, le meilleur moyen de s’en prémunir reste de mettre son navigateur à jour ; la dernière version, Internet Explorer 8, n’est en effet pas concernée par le problème.