Encore une faille critique dans Internet Explorer

La faille concerne Internet Explorer 6 lorsqu’il est installé sur Windows 2000 ou Windows XP SP1. Les Windows XP équipés du SP2 ne sont toutefois pas inquiétés.

La faille a été révélée par Secunia, une société spécialisée dans la sécurité informatique. Elle exploite les balises frame et iframe par utilisation d’un dépassement de mémoire tampon (buffer overflow). Cela se produit lorsqu’un programme tente d’utiliser plus de mémoire que ce qui lui est alloué. Il écrit alors dans des zones qui ne lui sont pas attribuées, ce qui peut permettre d’exécuter des instructions avec plus de droits d’accès et finalement de prendre le contrôle de la machine.

Plusieurs organismes chargés de surveillance de la sécurité informatique (l’US-Cert aux USA, le Cert-IST en France) ont classé la faille comme hautement critique. D’autres logiciels exploitant le module ActiveX WebBrowser pourraient aussi être touchés comme Outlook, Outlook Express ou encore Lotus Notes.

Actuellement, hormis l’installation du SP2, aucun correctif n’est disponible. Microsoft suit en effet sa politique de non mise à jour pour des systèmes autres que Windows XP SP2. Mais vu les mécontentements des experts en sécurité, Microsoft pourrait bien finalement sortir un patch pour les utilisateurs ne souhaitant pas passer au SP2. En attendant, la désactivation des contrôles ActiveX et de JavaScript limite les risques même si elle ne supprime pas la faille.

Voilà donc encore une nouvelle qui pourrait permettre à FireFox (dont la version 1.0 finale est attendue pour dans quelques jours) de gagner de nouveau quelques parts de marché.