Faille: embryon de désastre pour Internet Explorer 6 ?

Une nouvelle faille critique visant le butineur de Microsoft pourrait s’ouvrir dans les prochaines heures. Le site Security-Protocols n’a pas résisté à l’envie de diffuser quelques brides d’informations relatives à sa découverte. Restons prudents tant que des détails techniques ne sont pas publiés

Tom Ferris, du site Security Protocols, aurait en effet découvert une nouvelle vulnérabilité nichée au c?ur du navigateur Internet Explorer. Selon le chercheur, cette faille pourrait permettre l’exécution de code arbitraire, avec les privilèges de l’utilisateur, lors de la visualisation d’une simple page HTML piégée. Cette page pourrait être placée sur un site Internet ou dans un e-mail formaté à cet effet. Dans l’attente d’une réponse de la part des équipes sécurité de Microsoft (peut-être lors du prochain « Patch Day » de septembre?), Tom Ferris n’a donné aucun élément technique permettant de comprendre les mécanismes de ce nouveau défaut de sécurité?, excepté une capture d’écran d’un message d’erreur généré par son code ‘Proof of Concept’. Toujours d’après l’expert, la faille affecterait Internet Explorer 6 équipé de tous les derniers correctifs sous Microsoft Windows XP SP2. Si ces informations transmises à Microsoft sont avérées, il est clair qu’une telle vulnérabilité pourrait avoir des conséquences désastreuses pour la sécurité des utilisateurs d’IE. Aucune solution technique n’est disponible pour le moment. L’éditeur, mis au courant depuis 15 jours, répond qu’aucune attaque utilisant cette vulnérabilité n’a encore été détectée.

Aurélien Cabezon pour Vulnerabilite.com