Une vulnérabilité 0-day affecte IE6 et IE7

Chercheur en sécurité informatique, Aviv Raff a la réputation d’être un découvreur de failles hors pair. Pour lui, pas de sectarisme, tout y passe et dans le domaine des navigateurs Web, Firefox et Internet Explorer sont logés à la même enseigne. Sa dernière victime en date est ainsi le fureteur de la firme de Redmond, version 7 la plus récente comprise, sans compter la version 8.0b.


Vulnérabilité exploitable à distance
Ladite vulnérabilité de type Cross-Zone Scripting se situe au niveau de l’une des options d’impression proposées par Internet Explorer. La fonctionnalité " Imprimer la table de liens " permet de générer une page HTML avec un tableau où sont indiquées les adresses vers lesquelles pointent les liens de la page à imprimer. Le problème est que ces liens ne sont pas filtrés avant d’être intégrés au tableau, d’où la possibilité pour des sites Web malveillants de faire exécuter un script dans un contexte de sécurité zone locale. Le risque devient alors l’exécution de commandes arbitraires à distance.

La vulnérabilité a été confirmée par plusieurs sociétés de sécurité dont Secunia qui l’a toutefois qualifiée de peu critique. Il n’empêche, Raff a alerté Microsoft concernant les dangers de sa découverte, et dans l’attente de la publication d’un correctif, il suggère de ne pas avoir recours à l’option d’impression incriminée.