Le consultant informatique et chasseur de bogues à ses heures Georgi Guninski a révélé, le 1er janvier dernier, une nouvelle faille de sécurité qui touche les versions 5.5 et 6.0 d’Internet Explorer, qu’elles soient « patchées » ou non. Selon le spécialiste, la fonction « GetObject() » associée à un chemin (type « http:// »+location.host+ »/../test.txt ») permet d’accéder au disque dur de l’utilisateur via Internet.
Cette faille est fortement similaire à un précédent bogue également découvert par Georgi Guninski sur IE 5.5 et Outlook Express en 2000. Microsoft avait d’ailleurs fini par livrer un correctif. Visiblement, tous les trous n’avaient pas été bouchés. Et, à ce jour, rien n’est disponible pour ce nouveau problème. Georgi Guninski déclare avoir informé l’éditeur le 11 décembre dernier. Ne voyant rien venir trois semaines après sa découverte, le consultant en sécurité a estimé légitime de révéler la faille.
Conseils de sécurité
En attendant un nouveau correctif, Georgi Guninski conseille de désactiver l' »Active Scripting » dans les paramètres de sécurité (Outils, Options Internet puis onglet Sécurité et Personnaliser le niveau…). Ou de « ne pas utiliser IE dans un environnement hostile comme Internet ». Tout simplement.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…