Microsoft corrige une faille critique sur IE en urgence

C’est avec une semaine d’avance que Microsoft a publié son bulletin de sécurité mensuel. Habituellement présenté le deuxième mardi du mois, l’éditeur de Windows s’est fendu d’un bulletin référencé MS04-040 mercredi 1er décembre 2004 au nom de l’urgence. Le correctif en question vise à combler une brèche de sécurité du navigateur Internet Explorer sur la balise ‘iFrame’ qui sévit depuis plusieurs semaines ( voir édition du 5 novembre 2004). Cette faille, habillement exploitée, permet de prendre à distance le contrôle d’un ordinateur. Elle affecte toutes les versions de Windows à l’exception du SP2 de Windows XP. Un mois de retardLes versions A et B du ver Bofra exploitent la faille iFrame pour se propager. Des pirates avaient également perverti des serveurs de régies publicitaires, notamment Falk AG, pour tenter de contaminer les ordinateurs des internautes qui cliqueraient dessus. Le site d’informations anglais The Register avait été victime de ce phénomène de contamination ( voir édition du 23 novembre 2004).Le ver est dans le fruit et il y a effectivement urgence à faire le ménage. Face au scepticisme de Microsoft, la société de sécurité Secunia avait finalement rendue la faille publique début novembre. A la suite de laquelle les tentatives d’exploitation du trou de sécurité n’ont pas tardé à apparaître, obligeant ainsi l’éditeur à réagir plus promptement. Microsoft devrait inclure ce correctif dans son prochain bulletin. En attendant, la mise à jour via le service Windows Update s’impose.