L’expert en sécurité Michael Zalewski, déjà connu pour avoir révélé de multiples failles dans les navigateurs, revient sur le devant de la scène en publiant les détails de quatre failles affectant Internet Explorer et Firefox. Non que les quatre failles concernent à la fois les deux navigateurs, chacun récupérant pour l’occasion une sérieuse, l’autre moins.

Du côté d’Internet Explorer, dans ses versions 6 et 7, tout d’abord, la faille sérieuse est jugée critique car elle offre aux potentiels pirates une ouverture qui permet de leur faire exécuter directement par le navigateur un code JavaScript, et donc des exécutions arbitraires. La faille peut être exploitée via un site web spécialement conçu pour l’occasion. On se retrouve donc dans le cas d’une faille exploitable à distance, contre laquelle le navigateur ne peut rien, la défense intégrée « s’écroulant comme un château de cartes » selon Zalewski.

Pour la faille moins importante, elle est jugée de sévérité moyenne. Elle n’affecte que la version 6 du navigateur et concerne un problème de spoofing (usurpation d’adresse).

Côté Firefox, la faille sérieuse est en fait une réminiscence d’un problème corrigé précédemment par Mozilla, mais dont tous les aspects n’ont a priori pas été visités selon Zalewski. Une vulnérabilité IFRAME peut en effet être exploitée pour implanter directement un code malveillant dans un site web, comme un keylogger ou un malware.

La faille « moyenne » permet quant à elle de déclencher des téléchargements non autorisés ou non demandés par l’utilisateur.

Zalewski a publié les détails de ces failles, et Mozilla a annoncé que les deux lui « appartenant » étaient actuellement examinées. Chez Microsoft, même combat, une porte-parole ayant annoncé que l’éditeur enquêtait et qu’un bulletin de sécurité serait publié le cas échéant.