Une faille classée sans suite par Microsoft

Une vieille faille affectant Internet Explorer ne recevra pas de correctif avant la sortie des prochains Service Packs de Microsoft.


A l'automne dernier, plusieurs spécialistes de la sécurité informatiques rapportaient avoir identifié une faille dite "zero day" (à effet immédiat) sur la fonction glisser-déposer d'Internet Explorer dans ses versions 5.01, 5.5 et 6.0. A l'époque, un consensus se dégageait, pour admettre que cette vulnérabilité présentait une dangerosité importante, dans la mesure où un site Web soigneusement modifié pouvait l'exploiter, et conduire à une infection du PC concerné au moyen de toutes sortes de vilaines bestioles, telles que chevaux de Troie, vers et autres logiciels espions.

Comme souvent, hélas, Microsoft jouait une partition différente de celle de ses partenaires en terme de sécurité, et indiquait qu'un correctif ne s'imposait pas dans l'immédiat. L'éditeur de Redmond le confirme aujourd'hui, soit près de six mois après les faits, et indique que les prochains Service Pack 2 pour Windows Server 2003, et Service Pack 3 pour Windows XP, apporteront une solution à ce problème, mais que d'ici là, il faudra simplement faire preuve de prudence... et de patience !

Les différents éditeurs de solutions de sécurité qui se sont penchés sur la question, et ils sont nombreux, sont unanimes à critiquer l'attitude un brin désinvolte de Microsoft, et avec l'accord de ce dernier, la firme SecuriTeam propose trois méthodes ( lire la rubrique "Workaround" ) pour se prémunir contre les infections liées à cette faille, avérée, rappelons-le.