Microsoft corrige une nouvelle faille dans Outlook
L’éditeur de Windows vient de mettre en ligne un correctif visant à combler une faille de sécurité qui affecte Word lorsqu’il est utilisé en tant que qu’éditeur de courrier électronique par Outlook 2000 et 2002. Mais Office XP n’est pas totalement sécurisé puisque, selon le consultant Georgi Guninski, une faille similaire persiste sous Excel 2002.
Microsoft rencontre bien des problèmes avec ses zones de sécurité Internet. Ou, plus précisément, avec l’absence de celles-ci. Après la faille du bouton « Précédent » sous Internet Explorer (voir édition du 18 avril 2002), l’éditeur de Windows vient d’annoncer un nouveau risque « modéré » sous Word, lorsque celui-ci est utilisé pour lire ou écrire des mails sous Outlook 2000 et 2002. Sur le même principe que le bouton « back », un courrier traité avec Word le place dans une zone sans protection contrairement à Outlook. Ainsi, un script malicieux peut s’activer au moment de répondre au message ou même de le faire suivre. Car Word agit avec un document au format HTML comme s’il s’agissait d’un nouveau document, ce qui n’a pas lieu d’être sécurisé a priori.
Microsoft vient donc de publier un correctif, le patch MS02-021 (en anglais pour le moment), qu’il est vivement conseiller d’installer. Mais ne croyez pas être en sécurité pour autant. Le consultant informatique Georgi Guninski souligne qu’une faille similaire persiste dans Office XP (donc l’édition 2002 de Word, Access, Outlook…) via Excel. Il ne s’agit certes pas de répondre à ces courriers avec le tableur, mais le script peut être intégré dans un fichier « .xls », envoyé en pièce jointe. Lignes de code Javascript à l’appui, l’auteur n’hésite pas à faire la démonstration de ce qu’il avance. Et préconise, en attendant le prochain correctif de Microsoft, de désactiver tout ce qui peut s’activer dans Internet Explorer, notamment les scripts et les ActiveX. Evidemment, cela risque de rendre les visites de certains sites moins agréables…