« Nous vous concoctons un correctif « out of band », soyez patients. De toute manière, les tentatives d’exploitation ne semblent pas être nombreuses » : le communiqué de Microsoft daté du 19 septembre se veut rassurant. Plus rassurant que le bulletin d’alertes du 17, qui prévenait de l’existence d’une faille-mère touchant toutes les versions les plus courantes d’Internet Explorer sur tous les noyaux de XP à Windows 7.
En attendant que ne soit diffusée la rustine, Microsoft conseille d’utiliser Emet 2.0, le « Enhanced Mitigation Experience Toolkit » qui permet d’administrer les mécanismes DEP et ASLR de certains programmes. Lequel Emet risque fort de n’apporter plus d’inquiétudes que de bien. Emet, précise sa documentation, « provides users with the ability to deploy security mitigation technologies to arbitrary applications ». Offrir la possibilité de déployer des technologies de mesures de contournement à destination d’applications arbitraires … un tel sabir mériterait une médaille avec palmes pour le moins académique dans la catégorie « volapuk et xylolangage conçus par un équivalent-énarque ayant témoigné de grosses difficultés à assimiler la méthode Boscher durant sa petite enfance ». Le reste du texte de présentation est à l’aune de son chapitre introductif. Emet est donc un outil dont l’usage public est fortement découragé par Microsoft.
Reste que la faille est aisément exploitable sur toutes les plateformes XP dotées de IE 7 ou IE8. Sous Vista/Windows 7 et Internet Explorer 9, la présence de Java est nécessaire pour que l’exploit très récemment intégré à la panoplie Metasploit puisse fonctionner, précise le blog de Rapid7. Une désinfection visant à éliminer les outils Java (rarement utiles dans le domaine professionnel) pourrait donc constituer un premier pas vers une informatique plus sûre.
Comme on pouvait s’y attendre, beaucoup de doctes conseillers en sécurité recommandent d’utiliser « des navigateurs alternatifs », du moins tant que le correctif salvateur ne sera pas émis par Microsoft.
