Une première faille dans IE7? oubli troublant?!

Le danois Secunia a révélé la présence d’une première faille dans Internet
Explorer 7. Certes, il n’existe pas de code infaillible à 100 %. Mais lorsque la
faille est identique à celle découverte dans IE6 en avril dernier, c’est
incompréhensible ! Dernière minute : Bernard
Ourghanlian, Chief Technology & Security Officer de
Microsoft France, réagit : « IE7 est la ‘victime’ de cette faille mais pas la
cause »? A lire à la suite de notre article.

A peine disponible, déjà faillible? Décidément Microsoft n’en finira pas avec les failles ! Il n’aura fallu que quelques heures entre l’annonce de la disponibilité d’Internet Explorer 7 et la révélation d’une première faille qui affecte la version finale sous Windows XP SP2.

L’internaute qui visite sous IE7 un site au contenu malicieux risque de voir ce dernier lire et collecter des données confidentielles provenant d’un autre site visité, bancaire par exemple, ou des messages sur un Web-mail, même si ces derniers sont sécurisés.

« Une attaque par phishing peut être une bonne approche pour l’exploiter« , a indiqué Thomas Kristensen, CTO de Secunia.

Difficile en revanche de trouver des excuses à Microsoft dans cette affaire. En effet, le discours de l’éditeur sur IE7 a régulièrement mis en avant les fonctionnalités anti-phishing de son nouveau navigateur. Ça fait plutôt désordre !

Mais surtout, la première faille révélée dans la version définitive d’IE7 se trouve être identique à celle révélée dans IE6 en avril dernier. Et là, Microsoft est impardonnable. L’utilisateur du nouveau navigateur est en droit d’attendre d’un éditeur de la taille de Microsoft qu’une faille clairement identifiée sur une ancienne version soit absente sur les nouvelles moutures du produit.

Secunia pourra affirmer que la faille est d’un niveau critique bas (less critical), et suggérer de désactiver le support de l’active scripting pour s’en protéger, des données sensibles de l’internaute et de l’entreprise peuvent être exposées.

Et dire que Bill Gates a placé Internet Explorer au c?ur de sa stratégie Web. Décidément, Microsoft est toujours victime de ses vieux démons?

Bernard Ourghanlian, Chief Technology & Security Officer de Microsoft France, commente en direct notre article, constate la présence de la faille, mais en reporte la responsabilité : « A propos de votre article publié ce soir sur Silicon.fr, je voulais apporter une précision au sujet de la faille dont il est question. Contrairement à ce qui est affirmé par Secunia, cette faille est liée à Outlook Express mais PAS à IE7 ; plus spécifiquement à la DLL inetcomm.dll qui n’est pas installée, ni mise à jour par IE7.Autrement dit, il est exact qu’il y a bien une vulnérabilité mais celle-ci n’est pas une vulnérabilité IE7 et est bien antérieure à l’installation d’IE7 ; pour s’en convaincre, il suffit de ‘désenregistrer’inetcomm.dll(qui n’est pas installée par IE7) grâce à la commande ‘REGSVR32 /U inetcomm.dll‘ et de constater que la démonstration de la vulnérabilité proposée par Secunia n’est plus possible.Ici, IE7 est la ‘victime’ de cette faille mais pas la cause de celle-ci. « PS : Cette faille n’existe pas sur Windows Vista où cette DLL a été corrigée.