Nouveau cas d'école avec la publication de deux exploits, dits 0day car la faille concernée n'est pas comblée, relatifs au navigateur Internet Explorer et au convertisseur de texte de WordPad. Microsoft a confirmé ces vulnérabilités dans deux avis de sécurité : 961051 et 960906. L'éditeur de sécurité Secunia les a qualifiées d'extrêmement critiques, soit le plus haut niveau sur son échelle de dangerosité.
La vulnérabilité de corruption de mémoire affectant IE semble due à un problème au niveau du traitement de certaines données XML. Microsoft évoque des attaques limitées et ciblant le navigateur Web dans sa version 7 sur Windows XP, Server 2003, Windows Vista et Server 2008. Le code exploit a commencé à se répandre sur des forums chinois mais ne devrait pas tarder à franchir les frontières factices de l'Internet. Le mode protégé de IE7 dans Windows Vista limite l'impact de la vulnérabilité, précise Microsoft, mais les meilleures mesures de prévention sont toujours les mêmes, à savoir ne pas surfer sur des sites non sûrs ou suivre des liens douteux.
Concernant la vulnérabilité également de corruption de mémoire affectant WorPad, elle est due à une erreur au niveau du traitement d'un document Word 97 malformé. Windows XP SP3, Windows Vista et Windows Server 2008 ne sont pas concernés par cette vulnérabilité. La parade... ne pas ouvrir de documents non sûrs avec WordPad.
Reste à savoir si ces vulnérabilités seront corrigées cette année par Microsoft via une publication en urgence, ou l'année prochaine.
