Troisième faille en une semaine pour IE

Une troisième faille importante fait son apparition en moins d'une semaine sous Internet Explorer.

Au cours des sept derniers jours, Microsoft s'est fait bousculer dans le domaine de la sécurité : par deux fois ont été montrées du doigt des vulnérabilités affectant son navigateur Internet Explorer et la manière dont il gère certaines portions de code HTML dans l'affichage des pages Web. Une troisième faille est dévoilée aujourd'hui, et jugée critique à la fois par Microsoft et par le site de sécurité informatique britannique Computer Terrorism. Elle concerne cette fois la méthode "Create TextRange()", par laquelle une page HTML délimite les portions de texte lors de l'affichage : en englobant des instructions particulières dans le code d'une page Web, il devient possible de tromper la gestion de la plage de mémoire vive affectée au fonctionnement du navigateur de Microsoft, et de lancer en parallèle un programme malicieux.

Conscient de la gravité du problème, Microsoft a déclaré à l'éditeur de solutions de sécurité informatique Secunia qu'un correctif était en cours d'élaboration, sans pour autant préciser s'il ferait partie de la fournée qui devrait être publiée le 11 avril, à l'occasion du prochain Patch Tuesday. Il est toutefois acquis que la faille peut être exploitée sous Windows XP Service Pack 2, et qu'elle concerne non seulement Internet Explorer 6--qui devrait évoluer prochainement--mais également les versions de test d'Internet Explorer 7.

Computer Terrorism s'est pour l'instant refusé à publier le code complet permettant d'exploiter cette faille, mais des portions dudit code sont néanmoins disponible sur son site, ce qui, une nouvelle fois, met Microsoft dans une position embarassante.