Selon la firme de sécurité IT Websense, plus de 200 sites Web auraient été piratés pour tirer partie de la faille critique non corrigée d’Internet Explorer.
Cette faille permet d’exécuter des scripts distants sur la machine de la victime.
Selon Websense, ces scripts téléchargent le plus souvent un cheval de Troie qui va à son tour permettre l’installation de différents agents malveillants (spyware, serveurs de spam, etc.).
Pour tirer parti de la faille, les attaquants doivent convaincre les internautes de se rendre sur des pages en ligne expressément piégées.
Dans son bulletin de sécurité (917077), Microsoft estime qu’un attaquant « n’aurait aucun moyen de forcer un utilisateur à se rendre sur un site malveillant ».
Or, il apparaît que nombre des sites Web malveillants en question affichent une image tout à fait honorable et sont régulièrement fréquentés par des milliers d’internautes.
On est loin des pages de hackers, pornographiques ou de téléchargement illégaux de contenus habituellement utilisés comme vecteur de contamination.
Pour s’en prémunir, Microsoft recommandait de désactiver les fonctions d’interprétation des scripts du navigateur (ActiveScripting).
Cela reste pour l’heure la meilleure solution en attendant le correctif que Microsoft pourrait ne pas diffuser avant son prochain bulletin mensuel de sécurité, le 11 avril prochain.
Pour débugger IE7, Microsoft s’inspire du libre « Après bien des discussions, nous avons décidé que les gens auraient le droit et devraient avoir un accès public pour nous faire par des retours sur le produit ou faire des suggestions », écrit l’équipe de développement d’Internet Explorer 7 dans le blog qui lui est consacré.
Loin de s’en cacher, l’initiative s’inspire directement de BugZilla, l’espace public déployé par la Fondation Mozilla pour faire la chasse aux bugs de ses logiciels.
Fanch