Une faille hautement critique dans Internet Explorer
En avril, ne te découvre pas d'un fil
Le site de sécurité Secunia Research, avec l’aide d’un certain Steliane Ene, a découvert une faille hautement critique dans Internet Explorer permettant à une personne malintentionnée de compromettre un système faillible. La vulnérabilité se concentre dans une erreur au niveau de la gestion de certains appels « createTextRange() » malformés, en DHTML. Ceux-ci permettent ainsi de faire exécuter des commandes arbitraires en incitant simplement un utilisateur à visiter une page web spécialement piégée.
La vulnérabilité en question a été confirmée sur un système correctement mis à jour, avec Internet Explorer 6.0 et Microsoft XP SP2. Elle a été encore confirmée dans Internet Explorer 7 Bêta 2 Preview. D’autres solutions, plus anciennes, pourraient encore être concernées.
Microsoft a confirmé de son côté la faille en question et un bulletin de sécurité est d’ores et déjà en phase d’édition. La faille sera ainsi sans doute colmatée lors du prochain train de mise à jour, mi-avril. L’éditeur indique d’ores et déjà que désactiver l’active scripting dans les paramètres avancés du navigateur, permet de sécuriser son système contre une exploitation. Pour cela, dans l'onglet Sécurité des options d'Internet Explorer, cliquer sur le bouton Personnaliser le niveau, puis dans la section Script et Active Scripting, cocher Désactiver, précise de son côté le CERTA (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques).
La vulnérabilité en question a été confirmée sur un système correctement mis à jour, avec Internet Explorer 6.0 et Microsoft XP SP2. Elle a été encore confirmée dans Internet Explorer 7 Bêta 2 Preview. D’autres solutions, plus anciennes, pourraient encore être concernées.
Microsoft a confirmé de son côté la faille en question et un bulletin de sécurité est d’ores et déjà en phase d’édition. La faille sera ainsi sans doute colmatée lors du prochain train de mise à jour, mi-avril. L’éditeur indique d’ores et déjà que désactiver l’active scripting dans les paramètres avancés du navigateur, permet de sécuriser son système contre une exploitation. Pour cela, dans l'onglet Sécurité des options d'Internet Explorer, cliquer sur le bouton Personnaliser le niveau, puis dans la section Script et Active Scripting, cocher Désactiver, précise de son côté le CERTA (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques).
Marc Rees
le 24 mars 2006 à 11:24
(28 234
lectures)
Actualités et brèves relatives
- 21 / 03 / 2006 : Nouvelle version Preview d'Internet Explorer 7.0
- 16 / 03 / 2006 : Microsoft : bulletin de sécurité du mois de mars
- 16 / 03 / 2006 : Disponibilité de Windows Live Toolbar pour IE
- 13 / 03 / 2006 : Microsoft prépare un nouveau client email gratuit
- 02 / 02 / 2006 : Internet Explorer 7.0 victime des insectes
- 01 / 02 / 2006 : Internet Explorer 7.0 est disponible en Bêta 2 Preview
- 28 / 12 / 2005 : Les logiciels de Microsoft pour 2006
- 23 / 12 / 2005 : Internet Explorer 7 supportera l'IDN
