Internet explorer ie logo La première implique un problème de script dans une page web qui peut permettre à une personne malveillante de voir les informations dans la fenêtre ouverte du navigateur ( par exemple, un webmail ) venant d'une autre page au contenu malveillant. Cependant, cette faille a été jugée par les chercheurs moins dangereuse qu'une brèche consistant en une interaction entre l'utilisateur et les données sensibles présentes dans d'autres fenêtres du fureteur de Microsoft.

" Plusieurs personnes ont passé un peu plus de temps à découvrir cette faille particulière et alors qu'il s'agit plutôt d'un exploit subtile avec un niveau de risque amoindri, cette faille nous a quand même inquiétés. " indiqué Bojan Zdrnja de SANS Internet Storm Center.


Microsoft déjà sur le coup
Adrian Stone, du centre de recherches en sécurité chez Microsoft a confirmé que la société était en train d'examiner ce problème. " Jusqu'ici, nous ne sommes pas au courant d'une quelconque attaque exploitant cette vulnérabilité, mais nous voulons avertir chacun que nous sommes en train d'enquêter sur ce problème. " a t-il indiqué sur le site Technet de l'éditeur.

Par ailleurs, SANS qui supposait au départ que cette vulnérabilité pouvait atteindre Firefox a averti, après des tests plus approfondis, que le fureteur libre de Mozilla n'était pas concerné par cette faille. Internet Explorer 7 est également écarté de tout risque.

Une faille un peu plus importante concerne la manière dont sont supportées les HTA ( HTML Applications ). Un utilisateur pourrait être victime d'un dossier malveillant en double-cliquant sur celui-ci, ce dernier exécutant du code malveillant. Le dossier devra être consulté par SMB ( Serve Message Block ) ou WebDAV ( Web-based Distributed Authoring and Versioning ) pour que la brèche puisse être exploitée.

" La version actuellement disponible du PoC ( proof of concept ) qui a été publiée est limitée car elle requiert que l'utilisateur double-clique sur une icône pour éxécuter le chargement d'un code malicieux mais nous pouvons nous attendre à une utilisation concrète de cet exploit très rapidement. "

Microsoft a annoncé qu'il étudiait également cette faille.