Noel

Le site de sécurité Secunia Research, avec l’aide d’un certain Steliane Ene, a découvert une faille hautement critique dans Internet Explorer permettant à une personne malintentionnée de compromettre un système faillible. La vulnérabilité se concentre dans une erreur au niveau de la gestion de certains appels « createTextRange() » malformés, en DHTML. Ceux-ci permettent ainsi de faire exécuter des commandes arbitraires en incitant simplement un utilisateur à visiter une page web spécialement piégée.

La vulnérabilité en question a été confirmée sur un système correctement mis à jour, avec Internet Explorer 6.0 et Microsoft XP SP2. Elle a été encore confirmée dans Internet Explorer 7 Bêta 2 Preview. D’autres solutions, plus anciennes, pourraient encore être concernées.

Microsoft a confirmé de son côté la faille en question et un bulletin de sécurité est d’ores et déjà en phase d’édition. La faille sera ainsi sans doute colmatée lors du prochain train de mise à jour, mi-avril. L’éditeur indique d’ores et déjà que désactiver l’active scripting dans les paramètres avancés du navigateur, permet de sécuriser son système contre une exploitation. Pour cela, dans l'onglet Sécurité des options d'Internet Explorer, cliquer sur le bouton Personnaliser le niveau, puis dans la section Script et Active Scripting, cocher Désactiver, précise de son côté le CERTA (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques).