Nouvelle faille du Drag-and-Drop dans Internet Explorer
Une fissure dans la fenêtre
Une faille vient d’être découverte dans le navigateur Internet Explorer. Exploitée, elle permettrait à une personne malintentionnée d’exécuter du code malicieux voire de prendre le contrôle total de la machine faillible. La faille avait été découverte par Matthew Murphy, spécialiste en sécurité, et fut transmise à Microsoft, le 3 août 2005, via le site SecuriTeam. Elle se situe spécialement au niveau de la fonction glisser/déposer (drag-and-drop) du navigateur, lors du déplacement d’objets d’une fenêtre d’Internet Explorer vers une autre, ouverte sur le système. Une fois le bouton de la souris relâché, du code malfaisant peut être exécuté depuis la nouvelle fenêtre. Selon les découvreurs de la faille, Microsoft n’aurait pas l’intention de publier prochainement de patch mais préférerait attendre le SP2 sur Windows Server 2003 et SP3 sur Windows XP.
Malgré les critiques de la décision, l’éditeur, via le blog Microsoft Security Response Center, estime que la vulnérabilité n’est toutefois pas aussi facile à exploiter, car elle demande une très forte interaction de l’usager, dans un timing très serré. On note que dans le bulletin MS05-014, comblant plusieurs failles sur Internet Explorer, déjà une faille frappait cette fonction Drag and Drop, différente de celle-ci. Sur l’échelle des risques, le curseur est sur « modéré » chez le site de sécurité Frsirt, par exemple, qui recommande, faute de mieux, de désactiver l'Active Scripting dans les zones "Internet" et "Intranet local". L'action pourrait cependant perturber l'affichage et le fonctionnement de certains sites Web, note-t-il. On rapellera enfin que Microsoft a prévu cette semaine un train de sept patchs, dans ses correctifs mensuels dont Windows Media Player,Windows et dans la suite Office
Malgré les critiques de la décision, l’éditeur, via le blog Microsoft Security Response Center, estime que la vulnérabilité n’est toutefois pas aussi facile à exploiter, car elle demande une très forte interaction de l’usager, dans un timing très serré. On note que dans le bulletin MS05-014, comblant plusieurs failles sur Internet Explorer, déjà une faille frappait cette fonction Drag and Drop, différente de celle-ci. Sur l’échelle des risques, le curseur est sur « modéré » chez le site de sécurité Frsirt, par exemple, qui recommande, faute de mieux, de désactiver l'Active Scripting dans les zones "Internet" et "Intranet local". L'action pourrait cependant perturber l'affichage et le fonctionnement de certains sites Web, note-t-il. On rapellera enfin que Microsoft a prévu cette semaine un train de sept patchs, dans ses correctifs mensuels dont Windows Media Player,Windows et dans la suite Office
Marc Rees
le 14 février 2006 à 10:24
(14 416
lectures)
Actualités et brèves relatives
- 10 / 02 / 2006 : Microsoft prévoit sept patchs pour la Saint-Valentin
- 03 / 02 / 2006 : Faille WMF : une trouvaille russe à 4000 dollars
- 02 / 02 / 2006 : Internet Explorer 7.0 victime des insectes
- 16 / 01 / 2006 : Une faille dans la gestion du WiFi sous Windows
- 04 / 11 / 2004 : Une solution pour la faille du drag'n'drop sous IE
- 21 / 08 / 2004 : IE : le Drag-and-drop provoque une faille de sécurité
- 04 / 08 / 2004 : Stylp "pick and drop" : transférez les fichiers facilement
- 05 / 01 / 2004 : Deux nouvelles failles critiques pour IE
