IE_logo La correction de cette fameuse vulnérabilité a été " oubliée " lors du dernier Patch Tuesday et Microsoft rapporte désormais des attaques ciblées et limitées. Divulguée publiquement en janvier 2011, ladite faille de script affecte toutes les versions de Windows. Elle est liée à un problème au niveau du traitement par MHTML de requêtes MIME formatées pour des blocs de contenu dans un document.

MIME Encapsulation of Aggregate HTML est un protocole de page Web qui rassemble les ressources de plusieurs formats en un seul fichier. Du côté des navigateurs, seuls Internet Explorer et Opera le supportent nativement ( via une extension pour Firefox ). IE est connu pour être un vecteur d'exploitation de la vulnérabilité qui réside dans un composant de Windows.

Selon Microsoft, l'impact est comparable à celui d'une vulnérabilités XSS ( cross-site scripting ) côté serveur. Un attaquant pourrait par exemple construire un lien HTML afin de déclencher un script malveillant qui s'exécute sur l'ordinateur de la victime tout au long de sa session Internet Explorer. Ce script pourrait collecter des informations de l'utilisateur ( e-mail ), usurper du contenu affiché.

L'alerte pour des attaques a été sonnée par l'équipe de sécurité de Google qui fait état d'attaques " très ciblées " et apparemment " politiquement motivées " à l'encontre de ses utilisateurs ( de quels services ? ). Google fait également allusion à des attaques contre un site de réseau social populaire sans toutefois le nommer et se montre plutôt avare en détails.

Voilà qui n'est pas sans rappeler les attaques que Google avaient médiatisé début 2010. Elles avaient été utilisées pour tenter de voler des informations Gmail de dissidents chinois via l'exploitation d'une faille dans Internet Explorer 6.

Afin de protéger les utilisateurs de ses services, Google annonce avoir déployé plusieurs mesures de défense côté serveur. Elles doivent rendre l'exploitation de la faille MHTML plus difficile, mais ne constituent pas de solutions à long terme.

Google collabore avec Microsoft et recommande aux utilisateurs d'IE - en attendant un correctif en bonne et due forme - d'appliquer la solution radicale de la firme de Remond : un Fix it désactive la prise en charge du protocole MHTML.