Une faille de sécurité sous-évaluée par Microsoft
Confronté aux révélations d’une société experte en sécurité, Microsoft a dû revoir ses critères de jugement concernant une faille affectant Internet Explorer. D’abord jugée « modérée », cette faille est désormais qualifiée de « critique » par l’éditeur. L’application du correctif est donc vivement conseillée.
Entre le 4 et le 6 décembre 2002, la faille de sécurité « MS02-068 » affectant Internet Explorer 5.5 et 6.0 est passée de la qualification de « modérée » à celle de « critique » dans les bulletins d’alerte de Microsoft. Mauvaise évaluation du danger ou bien volonté de minimiser les risques de la part de l’éditeur ? Difficile à dire. Mais Microsoft s’illustre encore une fois par une gestion douteuse de la sécurité de ses produits. Le niveau de dangerosité de cette nouvelle faille n’a en effet été relevé qu’après que Thor Larholm, spécialiste en sécurité de la société Pivx Solutions, a mis en évidence sa gravité.
Apparemment, la faille est liée à la façon dont IE manipule les objets Web. Les conséquences peuvent être très fâcheuses puisqu’une personne malveillante peut exploiter ces trous de sécurité pour visiter un disque dur et lancer un programme résident à distance. Microsoft avait, dès le 4 décembre, mis en ligne un correctif qui n’a pas été modifié. La mise à jour est vivement conseillée.