Nouvelle faille zero-day pour IE

Malgré la palanquée de correctifs que Microsoft lui a apporté en début de mois, Internet Explorer est à nouveau touché par une faille dite "zero-day" (à action immédiate, en bon français), et c'est Symantec qui l'affirme.


Danger permanent
Après le Patch Tuesday d'avril, puis l'annonce que certains correctifs devraient être revus, on pensait que le front des intempéries serait calme pour quelques temps en ce qui concerne le navigateur Internet Explorer de Microsoft. Il n'en est rien, puisque l'éditeur américain de solutions de sécurité informatique Symantec rapporte la découverte par le site Security Focus d'une nouvelle faille à effet immédiat sur le logiciel de Redmond, y compris dans sa définition la mieux sécurisée, IE 6 sous Windows XP Service Pack 2.


Chemin mal balisé égale danger
Cette fois--mais ce n'est pas une première--c'est la manière dont Internet Explorer gère les pages Web au format HTML mal écrites qui pose problème. Selon le développeur Michal Zalewski, qui n'est pas un inconnu, il suffirait d'oublier une balise de fin de zone lors de l'écriture d'une page Web pour introduire en toute discrétion un code malicieux susceptible d'être exécuté. Une corruption de mémoire vive s'ensuivrait, avec à la clé un possible déni de service, voire une prise de contrôle à distance.


Conseils de prudence
Comme toujours, les recommandations de prudence restent de mise : ne pas exécuter Internet Explorer en mode administrateur (ce que personne ou presque ne songe à faire...), rester à l'écart des sites Internet doûteux, et désactiver le mode HTML dans les clients e-mail susceptibles de lancer Internet Explorer.

Notons que Symantec donne à cette vulnérabilité une "note" de 7,5 sur 10, ce qui souligne encore sa dangerosité.