Une nouvelle faille de sécurité
qualifiée de «critique» par les principaux
observateurs vient d'être décelée
dans Internet Explorer (IE 6 pour Windows 2000 et XP SP1).
Une faille nouvelle mais susceptible de provoquer toujours
les mêmes effets: elle pourrait être exploitée
par une personne mal intentionnée pour prendre
le contrôle du système à distance.
Elle a d'abord été rapportée le 2
novembre par la société danoise de recherche
en sécurité Secunia. Le lendemain, elle
a fait l'objet d'un avis du centre d'alerte officiel du
gouvernement américain (US-Cert). Et en France,
le 4 novembre, c'était au tour du Cert-IST, un
centre de veille réservé à quelques
grandes entreprises ou administrations françaises,
d'enfoncer le clou. Tous l'ont classée au sommet
ou presque de leurs échelles de risque respectives.
Si le danger est plus sensible aujourd'hui, c'est parque
que des détails de cette faille (un programme de
démo) ont été diffusés sur
un site internet prônant la transparence sur les
bugs de logiciels.
Cette vulnérabilité
se situe au niveau de la gestion de certaines balises
HTML par Internet Explorer. Il s'agit des balises "frame"
et "iframe" qui permettent d'insérer
des cadres dans une page web ou un e-mail écrit
en HTML.
D'autres programmes susceptibles
d'être touchés
Elle pourrait être exploitée pour créer
un dépassement de la mémoire tampon (buffer
overflow). Une défaillance qui survient lorsqu'un
programme demande davantage de mémoire qu'il n'en
dispose. Le programme accède alors à des
zones qui ne lui sont pas destinées. Une situation
qui permet d'exécuter du code à distance
sur la machine-cible, afin d'en prendre le contrôle.
Désactiver les comportements dynamiques dans Internet
Explorer, comme les contrôles ActiveX, et les scripts
JavaScripts comme l'indique Microsoft sur son site (...)
peut «protéger contre les programmes d'exploitation
actuels» de la faille mais ne la «supprime
pas», indique le Cert-ITS.
L'US-Cert précise dans son alerte du 3 novembre
que, outre IE, d'autres programmes permettant de lire
des pages HTML sont susceptibles d'être affectés,
tels que Outlook, Outlook Express ou Lotus Notes.
Pour ceux qui ne souhaitent pas passer à XP SP2,
il n'y a hélas encore aucun patch disponible chez
Microsoft. L'éditeur pourrait changer d'avis, a-t-il
déclaré à notre bureau de San Francisco.
Pourtant il avait affirmé qu'il ne mettrait plus
jamais à jour son navigateur pour les OS autres
que XP SP2.
Secunia conseille donc, dans ces conditions, «d'utiliser
un autre produit». Même chose chez les experts
français: «Tant que l'éditeur ne fournit
pas de correctif, nous recommandons d'utiliser un autre
navigateur», indique un porte-parole.