RESUME :
Un nouveau défaut de sécurité a été découvert dans le navigateur Internet Explorer. L’exploitation d’une erreur dans l’implémentation du langage VML (Vector Markup Language) permet à un individu malveillant de prendre le contrôle à distance de l’ordinateur de sa victime ou à un virus de s’exécuter à l’ouverture d’une page web piégée. Cette faille est déjà exploitée par des sites web malveillants pour forcer l’installation de programmes douteux ou malicieux.

LOGICIEL(S) CONCERNE(S) :
Microsoft Internet Explorer

CORRECTIF :
Aucun correctif n’est disponible pour le moment, car cette faille a été identifiée alors qu’elle était déjà exploitée de façon malveillante (0-day). En attendant la publication d’un correctif officiel, les utilisateurs concernés peuvent appliquer les mesures suivantes afin de réduire les risques d’exploitation malveillante :

• ne pas suivre, ouvrir ni visiter les liens hypertextes, fichiers ou sites web non reconnus comme sûrs ;
• mettre à jour son antivirus. Les éditeurs ont déjà ou vont bientôt publier de nouvelles signatures pour tenter de reconnaître et intercepter les fichiers malicieux exploitant cette faille (EXPL_EXECOD.A chez Trend Micro) ;
• désactiver l’option "Active scripting" des zones de sécurité "Internet" et "Intranet Local" du navigateur. Il est possible d’ajouter les sites reconnus comme sûrs habituellement consultés dans la zone "Sites de confiance" afin d’éviter que la désactivation de cette option ne perturbe leur affichage et/ou leur fonctionnement ;
• utiliser un autre navigateur web, lui-même à jour dans ses correctifs de sécurité.

INFORMATIONS COMPLEMENTAIRES :
-> Microsoft Security Advisory (925568) (en anglais)
-> FAQ : comment déterminer le numéro de version de votre logiciel?
-> Abonnement gratuit à la lettre Secuser Securite pour être informé par courriel des nouvelles failles