Une nouvelle fuite de la tuyauterie d'Internet Explorer 6 a été mise à jour. La faille, dont les détails n’ont pas été publiés, est suffisamment grave pour que Microsoft travaille a priori très sérieusement dessus pour sortir un correctif au plus vite. Touchant Internet Explorer dans sa version 6 sous Windows XP Service Pack 2, elle peut permettre la prise de contrôle à distance de la machine. Il n’existe aucune façon de s’en prémunir.

C’est Tom Ferris, chercheur dans un laboratoire de sécurité, qui a découvert la faille. Connu sur le web sous le pseudonyme de "badpack3t" (l33t h4ck3r ?), il explique que la faille est particulièrement grave dans le sens où aucune protection ne permet d'éviter une attaque déclenchée pour exploiter cette vulnérabilité précise. Firewall et changements des paramètres de sécurité n'y changeront rien. Si une attaque doit avoir lieu, cela devrait être par le biais d'un site web malicieux.

Ferris n'a voulu donner aucun détail mais a cependant précisé qu'il ne s'agissait pas d'une variante d'une faille déjà découverte. Microsoft a annoncé d'ailleurs qu'aucune attaque utilisant cette faille n'avait encore été détectée. Le chercheur indépendant et la société ont échangé plusieurs mails depuis que Ferris a averti Microsoft le 14 août. Il estime avoir fourni assez d'informations aux développeurs de Microsoft pour trouver et corriger la faille, mais la société continuerait de demander des détails. Ferris n'a pas fourni de proof-of-concept pour une prise de contrôle de la machine grâce à cette faille, mais un proof qui fait planter le navigateur (violation d'accès).

Ferris n'a pas non plus testé les autres versions d'Internet Explorer sous d'autres versions de Windows. Il se pourrait donc que la faille soit plus large, mais dans tous les cas Microsoft manque pour le moment d'informations techniques. Le chercheur indique qu'il ne pense pas que la faille ait été découverte par un autre que lui bien que dans l'absolu ce soit toujours possible évidemment. Il préconise tout simplement de changer de navigateur jusqu'à ce que Microsoft ait sorti un patch.

La société a tenu à rappeler au chercheur qu'une "bonne" attitude consistait à ne pas publier les détails de la faille avant qu'un patch soit apparu. Ferris s'est apparemment senti assez peu concerné et se décrit comme dans une "zone grise" puisqu'il n'a rien révélé, et ne compte pas le faire.