Microsoft : pas de bulletin de sécurité en décembre

Mardi 9 décembre, Microsoft a annoncé qu’il ne publierait pas de bulletin mensuel comme il en avait pris l’habitude depuis le mois d’octobre 2003 (voir édition du 16 octobre 2003). En compilant tous les correctifs que l’éditeur mettait auparavant en ligne au fur et à mesure de leur mise au point, ce patch mensuel est censé simplifier le travail des responsables informatiques en leur permettant une seule et unique mise à jour mensuelle au lieu de plusieurs.

Fausse adresse

L’absence de patch pour décembre signifie-t-elle pour autant l’absence de failles de sécurité ? Aucunement. Microsoft précise que « si les besoins en correctifs d’urgence se font sentir, ils seront édités parallèlement au travail mensuel ». Pourtant, SecurityFocus (qui relate le travail de Zap The Dingbat) annonce une faille qui touche les versions 6, 6 SP1 et 5 d’Internet Explorer. Cette vulnérabilité permet à un attaquant d’afficher une fausse URL dans la barre d’adresse afin de rediriger l’internaute vers un site pirate. Cela permettrait, notamment, à des manipulateurs de récupérer des données personnelles (code secret, numéro de carte de crédit, etc.) à travers la saisie d’un faux formulaire.

Le piège n’est pas inévitable. Le lien HTML détourné est suivi des caractères « 0x01@ » puis de l’adresse de la fausse page. Par exemple, l’adresse http://www.vnunet.fr0x01@microsoft.com ne renverra pas sur notre site mais sur Microsoft.com. Un peu d’attention avant de cliquer sur un lien permettra donc d’éviter les pièges. A moins d’utiliser un autre navigateur, c’est la seule solution avant la publication d’un futur patch.