L’une des failles repérées par une équipe de chercheurs de Google se trouvait dans le logiciel Defender, l’antivirus maison de Microsoft. La seconde faille identifiée aurait déjà été largement exploitée. Microsoft n’a pas indiqué dans quelle mesure celle-ci l’avait été. Sur son site, Microsoft explique en quoi les deux failles représentent un risque important de sécurité et comment elles pouvaient être exploitées. Les versions 9 à 11 d’Internet Explorer sont concernées. Le nouveau navigateur de Microsoft, Edge, n’est en revanche pas concerné.

Pour la faille la plus inquiétante, identifiée sous le nom CVE-2019-1367, Microsoft explique « si l’on imagine le scénario d’une attaque sur le Web, un assaillant pourrait héberger un site spécialement conçu pour exploiter la vulnérabilité en question, à travers Internet Explorer, et ensuite convaincre l’utilisateur d’accéder au site, en lui envoyant un mail [avec le lien] par exemple ».

Un navigateur à risque

Pour ce qui est de la faille dans Defender, celle-ci pourrait provoquer de « faux positifs » lorsqu’elle scanne des applications. En exploitant cette faille, une personne malveillante pourrait bloquer des applications à distance. Microsoft a déployé les patchs de sécurité en urgence afin de pallier le problème. Il est possible de télécharger le patch correctif depuis le site de Microsoft pour la faille d’Internet Explorer, ainsi que pour Defender.

Malgré la mauvaise réputation du navigateur Web, Internet Explorer​ reste encore aujourd’hui très populaire. Il serait encore installé sur près de 7,34 % des ordinateurs dans le monde, selon les chiffres rapportés par Netmarketshare. En février dernier, le géant américain avait conseillé de ne plus utiliser ce navigateur Web et de passer à Edge, le successeur d’Internet Explorer.