IE 5.5 et 6 : un nouveau patch pour trois failles

Microsoft vient de publier un nouveau correctif pour combler des trous de sécurité caractérisés dans Internet Explorer 5.5 (SP 2) et 6. Le patch corrige trois bogues du navigateur sous Windows. Lié à la façon dont IE gère certains en-têtes HTTP, le premier bogue peut déclencher, à la simple lecture d’une page HTML « mal intentionnée », le téléchargement automatique d’un fichier suivi de son exécution. Lequel fichier pourrait évidemment introduire au mieux des messages publicitaires, au pire des virus et autres chevaux de Troie, voire des logiciels espions. Pour plus de sécurité, l’utilisateur pourra se prémunir contre ce risque en personnalisant le niveau de sécurité du browser (Menu Outils/Options Internet, onglet Sécurité) où il suffit de désactiver le téléchargement de fichier.

La deuxième faille permet au concepteur ? toujours mal intentionné ? d’un site Web d’ouvrir deux fenêtres de navigation. L’un pointant sur la page Web requise par l’utilisateur et l’autre vers le disque dur de la machine cliente. A partir de là, l’opérateur distant accède aux fichiers de l’internaute. S’il peut les lire à distance, en revanche il ne peut heureusement pas les modifier.

La troisième faille permet à un pirate de transformer, dans la boîte de dialogue, le nom du fichier que l’utilisateur s’apprête à télécharger. Ainsi, l’internaute croyant télécharger un fichier PDF, par exemple, risque d’enregistrer un exécutable. Si cette faille est réellement dangereuse, elle ne peut cependant tromper que les utilisateurs distraits ou vraiment débutants. Cette manipulation ne peut en effet fonctionner qu’avec la complicité du site source (qui modifie à la base le nom des fichiers) ou bien à partir d’un courrier HTML.

Prévenu le 19 novembre, Microsoft n’avait semble-t-il pas pris au sérieux ces failles de sécurité. Il lui aura fallu près d’un mois avant de proposer un correctif qui sécurisera la navigation… jusqu’à la prochaine faille.