Un groupe nommé Computer Terrorism vient de publier un POC (proof of concept) exploitant une vulnérabilité découverte semblerait-il dans Internet Explorer. La faille toucherait de nombreuses plateformes maisons (Microsoft Windows 98, 98 SE, Me, 2000 SP4 et XP SP1 et 2). Microsoft cependant, affirme n’avoir pas eu vent de victimes côté clients à ce jour mais l’enquête poursuit son chemin.

La faille n’est pas toute fraîche. Elle a été signifiée à l’éditeur en mai dernier et permettait initialement de faire planter le navigateur. Des informations plus récentes ont cependant démontré qu’une exécution de code à distance était envisageable, rendant un peu plus pressante l’intervention de Microsoft. Remarque importante de ce dernier, les auteurs du POC, adeptes du full disclosure, ont lâché l’exploit sauvagement dans la nature causant un risque accru pour les usagers. On consultera à ce titre le bulletin d’alerte #911302 publié par l’éditeur et celui publié spécialement par le très officiel CERTA français (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques).

Ce dernier note que la faille n'est pas propre à IE car elle provoque encore un déni de service sur Firefox ou la suite Mozilla. Et même Opera, ajoute l'Internet Security System.

La situation est d’autant plus inquiétante, surtout sous IE, que l’attaque peut se faire du seul fait d’une visite sur un site Internet piégé. Certes, on ne peut forcer un usager à saisir une adresse web mais un simple lien envoyé par mail pourrait faire largement l’affaire... Une fois l’attaque orchestrée, le malintentionné disposera des mêmes droits que l’usager sur la machine victime, sous Internet Explorer.

De son côté, Microsoft promet normalement d’injecter une rustine dans le prochain lot de mises à jour. En attendant, l’éditeur recommande de désactiver l’Active Scripting dans Internet Explorer (dans le menu Outils, Options Internet, puis onglet Sécurité, Personnaliser le niveau, section Script, en bas de la liste).