Microsoft: IE5, IE6 également concerné par la vulnérabilité du navigateur

Une vulnérabilité non corrigée dans Internet Explorer 7 affecte également les anciennes versions du navigateur ainsi que la dernière version bêta, a averti Microsoft jeudi.

Les nouvelles informations élargissent le pool d'utilisateurs qui risque d'être infecté par inadvertance avec un logiciel malveillant installé sur son PC, car Microsoft n'a pas encore de correctif prêt.

Dans un avis mis à jour jeudi, Microsoft a confirmé que IE 5.01 avec Service Pack 4, IE6 avec et sans Service Pack 1 et IE8 Beta 2 sur toutes les versions du système d'exploitation Windows sont potentiellement vulnérables.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Également vulnérables sont les utilisateurs d'IE7 sur Windo ws XP Service Pack 2 et 3, Windows Server 2003 Service Pack 1 et 2, Windows Vista avec et sans Service Pack 1 et Windows Server 2008.

La société a clarifié le problème avec le navigateur après des conflits de rapports de sociétés de sécurité informatique.

"La vulnérabilité existe en tant que référence de pointeur invalide dans la fonction de liaison de données d'Internet Explorer", selon l'avis. "Lorsque la liaison de données est activée (état par défaut), il est possible dans certaines conditions de libérer un objet sans mettre à jour la longueur du tableau, ce qui laisse la possibilité d'accéder à l'espace mémoire de l'objet supprimé. de manière inattendue, dans un état qui est exploitable. "

Microsoft a déclaré qu'il a seulement vu des attaques limitées ciblées sur la faille dans IE7. Cependant, les analystes de sécurité ont indiqué qu'il semble qu'un nombre croissant de sites Web soient en cours de développement pour exploiter cette vulnérabilité.

Le problème est particulièrement grave puisque dans certains cas, les utilisateurs n'ont qu'à consulter un site Web pour avoir un cheval de Troie. programme automatiquement téléchargé sur leur machine. Une fois sur un PC, le pirate peut ordonner au programme de télécharger d'autres logiciels malveillants et d'effectuer des actions telles que l'envoi de spam et le vol de données.

Microsoft a indiqué dans l'avis plusieurs façons de réduire les risques de version du navigateur et du système d'exploitation qu'ils utilisent. Cependant, la solution infaillible est maintenant d'utiliser un autre navigateur jusqu'à ce que Microsoft le corrige.

Microsoft publie régulièrement des correctifs le deuxième mardi du mois, mais il est connu pour publier ce qu'on appelle un correctif hors bande si le la menace est jugée suffisamment grave. Microsoft ne dit pas s'il va le faire et a tendance à simplement libérer le correctif.

Le prochain jour de patch prévu est le 13 janvier, ce qui signifie que les attaquants auront au moins un mois pour infecter autant d'ordinateurs que possible. Ce jour-là, un correctif a été mis à jour.

Des informations sur la vulnérabilité sont apparues pour la première fois en Chine. Un organisme de sécurité chinois, appelé knownsec, a déclaré avoir entendu des rumeurs sur le fait que le code circulait dans les marchés criminels clandestins plus tôt cette année. On estime que le code d'exploitation a été vendu à un moment donné pour 15 000 $ US.

Les vulnérabilités logicielles sont très précieuses pour les cybercriminels, car les failles peuvent être utilisées pour voler des détails de cartes de crédit et d'autres données financières. années, Microsoft a vanté son record d'amélioration sur la sécurité informatique, mais a été encore accablé par de nouvelles découvertes de bogues dans les anciens logiciels.