Nouvelles failles critiques dans Internet Explorer

Alors que la sortie du SP2 de XP est une nouvelle fois repoussée et que les utilisateurs d’Internet Explorer commencent à fuir le navigateur, Microsoft doit faire face à de nouvelles failles non corrigées dans son logiciel.

Les vulnérabilités, découvertes par Paul et relayées par Secunia, sont qualifiées d’extrêmement critiques. Elles peuvent être exploitées par un attaquant distant afin de compromettre un système vulnérable. Elles touchent IE 5.01, 5.5 et 6. La première faille permet d’effectuer certaines actions à l’insu de l’utilisateur, comme par exemple l’ajout automatique d’un lien dans les favoris. Ce favoris corrompu sera chargé d’exécuter automatiquement la commande cmd.exe. La seconde vulnérabilité permet la redirection d’une fonction vers une autre, ce qui pourrait provoquer l’exécution d’un script arbitraire dans le contexte d’un autre site Web (ou dans d’autres zones de sécurité). Le dernier problème pourrait permettre de spoofer l’extension d’un fichier à télécharger, en utilisant la fonction « Window.createPopup() ». Evidemment, aucune solution n’est encore disponible chez Microsoft. Peut être dans le patch mensuel de la firme qui ne devrait pas tarder. Sinon deux conseils: changez de navigateur ou désactivez Active Scripting. iDefense a de son côté repéré une faille dans les célèbres Adobe Acrobat et Acrobat Reader. Elle pourrait être exploitée par un attaquant distant afin de compromettre un système vulnérable. Le problème de type ‘stack overflow’ se situe au niveau de la gestion des chemins. Il pourrait être exploité via un fichier PDF ayant une extension spécifique. Les versions 6 d’Adobe Acrobat et d’Adobe Reader sont concernées. Une mise à jour vers les version 6.0.2 fixe le problème.