Internet Explorer 7 déjà vulnérable?

A peine débarqué et déjà troué? Les détracteurs d’Internet Explorer n’ont pas tardé à réagir suite au lancement de la version 7 du navigateur pour Windows XP SP2 par Microsoft (voir édition du 18 octobre 2006). La firme de sécurité Secunia a ainsi décelé, jeudi 19 octobre, une vulnérabilité « qui peut être exploitée par des personnes malintentionnées pour obtenir d’éventuelles informations sensibles ».

La faille serait liée à l’élément « mhtml: » de redirection des adresses Web. Si cette faille permet donc d’accéder en ligne à des informations confidentielles, les pirates doivent cependant réussir à attirer l’utilisateur vers un site illégitime. Secunia a d’ailleurs classé la vunérabilité dans un niveau de faible dangerosité. L’entreprise n’en recommande pas moins de désactiver l’Active Scripting, la technologie de Microsoft qui permet d’animer des pages Web et de modifier dynamiquement leur contenu via les ActiveX.

Pour Microsoft, ce n’est pas IE7 qui est à mettre en cause, mais un composant de Windows plus particulièrement lié à Outlook Express, le client de messagerie associé au navigateur. « Alors que [les rapports de sécurité] utilisent Internet Explorer comme vecteur, la vulnérabilité elle-même se trouve dans Outlook Express », explique sur son blog Christopher Budd, membre du centre de sécurité de Microsoft. Il confirme d’ailleurs que le problème touche toutes les version d’IE et pas seulement la dernière. Une faille qui sera absente de Windows Vista qui remplacera le composant actuellement mis en cause.

L’origine du problème remonte à novembre 2003. Et a été identifié dans le b ulletin MS04-013 d’avril 2006. Il est donc pour le moins étrange qu’il perdure avec l’arrivée d’IE7. Si la vulnérabilité est désormais publique, Christopher Budd déclare néanmoins n’avoir connaissance d’aucun rapport d’attaque. L’équipe de sécurité de Microsoft n’en poursuit pas moins ses investigations en la matière.