Le programme Zero Day Initiative (ZDI), a communiqué une vulnérabilité affectant Internet Explorer 8 il y a plus de 7 mois sans avoir eu le droit à un correctif de sécurité de la part de Microsoft. ZDI a donc rendu publique la vulnérabilité. Cette faille daterait donc d’octobre 2013, et se révèlerait critique puisqu’elle permet à un utilisateur expérimenté d’installer du code malveillant sur les postes de travail pour en prendre le contrôle total. Cette faille est d’autant plus critique lorsque l’on sait que IE8 représente 20%, encore aujourd’hui, des usages d’Internet Explorer à travers le monde. Pour pouvoir tirer partie de cette faille, l’attaquant doit parvenir à tromper sa victime potentielle en l’amenant sur un site web spécialement conçu pour exploiter cette faille, depuis IE8 bien évidemment. Les méthodes traditionnelles (mail de phising, message instantanné contenant un lien frauduleux…) peuvent aider un pirate à mettre en place son attaque.

Cette faille a été découverte en octobre dernier par le chercheur belge Peter Van Eeckhoutte, dans le cadre du programme Zero Day Initiative. Microsoft a communiqué en affirmant que la rustine de sécurité appliquée en début de mois permet de protéger de cette vulnérabilité. Néanmoins, rien n’a été fait sur Windows XP dont la maintenance n’est plus assurée depuis avril dernier. ExtendedXP par Arkoon+Netasq permet donc de protéger les postes de travail tournant sous Windows XP et utilisant Internet Explorer 8 de cette vulnérabilité critique.