Microsoft a de nouveau quelques soucis de sécurité avec certaines (en fait, presque toutes les) versions de Windows commercialisées à ce jour. La faille dont il est question aujourd'hui affecte le module de traitement du code XMLHTTP dans Internet Explorer, et elle est qualifiée d'extrêmement critique par l'éditeur.


Fébrilité généralisée
Vous pensiez vous mettre à l'abri des pirates en passant à Internet Explorer 7 ' Il semble que ce soit raté, car Microsoft et la firme de sécurité informatique Secunia publient un bulletin d'alerte conjoint, dans lequel elles expliquent que toutes les versions de Windows destinées aux professionnels depuis Windows 2000 sont vulnérables à une attaque par le biais du module ActiveX XMLHTTP 4.0, utilisé notamment par Internet Explorer. Ce module a pour but de faciliter la vie de l'internaute en accélérant le rendu de certaines pages Web, mais ce faisant, il rend également plus facile la tâche de ceux qui conçoivent des sites piégés. D'ailleurs, il existe des preuves que cette faille a déja été exploitée avec succès, d'où la relative agitation qui s'est emparée du quartier-général de Microsoft, ces dernières vingt-quatre heures.

Pour l'heure, seules quelques certitudes subsistent : on peut contourner cette vulnérabilité en se livrant à un petit numéro d'équilibriste dans la Base de Registre de Windows (faites un signe de croix avant de taper "regedit" dans la fenêtre d'exécution de commandes), on peut également relever le niveau général de sécurité d'Internet Explorer de "moyen" à "élevé", tant en local que sur le Web, mais on peut aussi régler le navigateur Internet de Microsoft de manière à ce qu'il vous demande votre avis à chaque fois qu'un contrôle ActiveX est nécessaire à la visite d'une page Web. Par défaut, et depuis quelques mois, Internet Explorer vous demande l'autorisation d'installer de nouveaux contrôles ActiveX, mais ne vous pose ensuite plus la question lorsqu'il s'agit de les employer.

Vous trouverez (en anglais) tous les détails sur cette faille dans la note de Secunia, ainsi que dans l'avertissement publié par Microsoft via son service TechNet.