Une vulnérabilité de type zero-day (CVE-2014-0322) est actuellement utilisée dans le cadre d’une attaque ciblant précisément les utilisateurs d’Internet Explorer 10 avec le plugin Flash actif (car l’attaque utilise un Flash Object).

Selon FireEye les attaquants cibleraient en particulier un site officiel des vétérans américains (U.S. Veterans of Foreign Wars). Mais bien sûr, rien ne garantit qu’un autre groupe ne la découvre indépendamment ou ne l’achète prochainement…
(EDIT : selon le Journal de l’Aviation, cette vulnérabilité aurait également été exploitée contre des entreprises françaises dans le domaine de l’aéronautique)

Il n’existe pas encore de correctif officiel à cette vulnérabilité mais il est relativement simple de s’en prémunir : le mécanisme d’infection vérifie que le client est bien Internet Explorer 10 et que la machine ne possède pas la trousse à outils EMET de Microsoft. Installer cette dernière (même si l’on ne s’en sert pas) ou passer à IE 11 suffira donc à échapper à cette attaque. Pour cette fois…