Le consultant informatique et chasseur de bogues à ses heures Georgi Guninski a révélé, le 1er janvier dernier, une nouvelle faille de sécurité qui touche les versions 5.5 et 6.0 d’Internet Explorer, qu’elles soient « patchées » ou non. Selon le spécialiste, la fonction « GetObject() » associée à un chemin (type « http:// »+location.host+ »/../test.txt ») permet d’accéder au disque dur de l’utilisateur via Internet.
Cette faille est fortement similaire à un précédent bogue également découvert par Georgi Guninski sur IE 5.5 et Outlook Express en 2000. Microsoft avait d’ailleurs fini par livrer un correctif. Visiblement, tous les trous n’avaient pas été bouchés. Et, à ce jour, rien n’est disponible pour ce nouveau problème. Georgi Guninski déclare avoir informé l’éditeur le 11 décembre dernier. Ne voyant rien venir trois semaines après sa découverte, le consultant en sécurité a estimé légitime de révéler la faille.
Conseils de sécurité
En attendant un nouveau correctif, Georgi Guninski conseille de désactiver l' »Active Scripting » dans les paramètres de sécurité (Outils, Options Internet puis onglet Sécurité et Personnaliser le niveau…). Ou de « ne pas utiliser IE dans un environnement hostile comme Internet ». Tout simplement.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…