Nouvelle faille dans IE: le flou...

Une nouvelle faille pourrait (notez le conditionnel) avoir été détectée sous Internet Explorer.

Microsoft reconnait mener l'equête sur une potentielle faille de sécurité (qui a dit, "une de plus"!) touchant son navigateur Internet Explorer. La vulnérabilité, montrée du doigt par la firme de sécurité informatique française French Security Incident Response Team, atteindrait un niveau "critique", car le code nécessaire à l'exploitation de ladite faille est disponible sur le Web.

Il semblerait que le problème trouve son origine dans une DLL (Dynamic Link Library; bibliothèque dynamique de liens) de Microsoft Windows (la faillle a été notamment testée par la FSIRT sous Windows XP SP2 avec Internet Explorer 6.0; voir ici), du nom de "Msdds.dll", qui, suite à une commande passée par l'utilisateur dans Internet Explorer, autorise le démarrage d'autres applications de Windows. Cette DLL, présente notamment dans Visual Studio (un outil de développement de Microsoft), peut être aussi livrée avec d'autres logiciels de Redmond, dont Office 2002, .NET Framework 1.1, Office 2000, Office XP, Project et Visio.

Au final, lorsqu'un internaute est victime d'une tentative de phishing (hameçonnage, pour nos cousins québecois; substitution à un site légitime d'un autre, en tous points semblable, mais frauduleux), non seulement Internet Explorer n'identifierait pas la menace, mais laisserait la porte ouverte à la mise en oeuvre de codes malicieux.

La parade, en attendant un patch efficace, consiste en un "surf prudent" et une mise hors-service des contrôles ActiveX; voire à l'utilisation d'un autre navigateur Internet, indiquent FSIRT et l'institut américain SANS.