A peine débarqué et déjà troué? Les détracteurs d’Internet Explorer n’ont pas tardé à réagir suite au lancement de la version 7 du navigateur pour Windows XP SP2 par Microsoft (voir édition du 18 octobre 2006). La firme de sécurité Secunia a ainsi décelé, jeudi 19 octobre, une vulnérabilité « qui peut être exploitée par des personnes malintentionnées pour obtenir d’éventuelles informations sensibles ».
La faille serait liée à l’élément « mhtml: » de redirection des adresses Web. Si cette faille permet donc d’accéder en ligne à des informations confidentielles, les pirates doivent cependant réussir à attirer l’utilisateur vers un site illégitime. Secunia a d’ailleurs classé la vunérabilité dans un niveau de faible dangerosité. L’entreprise n’en recommande pas moins de désactiver l’Active Scripting, la technologie de Microsoft qui permet d’animer des pages Web et de modifier dynamiquement leur contenu via les ActiveX.
Pour Microsoft, ce n’est pas IE7 qui est à mettre en cause, mais un composant de Windows plus particulièrement lié à Outlook Express, le client de messagerie associé au navigateur. « Alors que [les rapports de sécurité] utilisent Internet Explorer comme vecteur, la vulnérabilité elle-même se trouve dans Outlook Express », explique sur son blog Christopher Budd, membre du centre de sécurité de Microsoft. Il confirme d’ailleurs que le problème touche toutes les version d’IE et pas seulement la dernière. Une faille qui sera absente de Windows Vista qui remplacera le composant actuellement mis en cause.
L’origine du problème remonte à novembre 2003. Et a été identifié dans le b ulletin MS04-013 d’avril 2006. Il est donc pour le moins étrange qu’il perdure avec l’arrivée d’IE7. Si la vulnérabilité est désormais publique, Christopher Budd déclare néanmoins n’avoir connaissance d’aucun rapport d’attaque. L’équipe de sécurité de Microsoft n’en poursuit pas moins ses investigations en la matière.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…