Failles d’Internet Explorer : les correctifs se font attendre

Cloud

Une combinaison de failles dans Internet Explorer, dont certaines ont été comblées par de précédent correctifs, ouvre la porte des ordinateurs à des scripts malicieux. Microsoft n’a pour le moment pas réagi.

De nouvelles failles de sécurité viennent d’être découvertes dans les versions 5.01, 5.5 et 6 d’Internet Explorer. Jugées extrêmement critiques par le site Secunia, les failles peuvent permettre à un attaquant de compromettre, à distance, le système de l’utilisateur.

Les failles relèvent du dispositif de redirection utilisant le manipulateur « mhtml: » qui peut être exploité pour contourner les paramètres de sécurité de la zone Internet du navigateur. Un internaute malveillant pourra s’en servir pour placer un code malicieux qui sera alors exécuté au sein de la machine. Une autre faille présente dans le dispositif de téléchargement peut être exploitée pour accéder au cache de l’utilisateur via une simple page Web. Enfin, deux autres faiblesses du système permettent de lancer des scripts à travers, notamment, des cadres (subframes) intégrés dans une page HTML.

Une combinaison dangereuse

Certaines de ces failles sont censées avoir été comblées par les derniers correctifs de Microsoft. Encore faut-il les appliquer. Mais c’est la combinaison de plusieurs d’entre elles qui présente le plus grand danger. Si les manipulations ne sont pas à la portée du premier pirate venu, elles n’en restent pas moins dangereuses, d’autant que Microsoft n’a encore fait aucune communication officielle sur le sujet. Pour se protéger, Secunia conseille de désactiver les Active Scripting (Options Internet > Sécurité > Personnaliser le niveau)… ou bien de changer de navigateur. Rappelons qu’un groupe d’experts évoquait récemment la nécessité d’introduire de la diversité dans les systèmes informatiques pour assurer une plus grande sécurité (voir édition du 27 novembre 2003).