Ces neufs défauts du navigateur Internet Explorer partagent une origine commune : un obscur défaut de validation des zones de sécurité. Ils concernent les versions 5.5 et 6 d’Internet Explorer, ainsi que les navigateurs MSN et AOL, qui partagent la même technologie.Internet Explorer 6 SP1 n’est cependant sensible qu’à une, peut-être deux, de ces failles, tandis que les versions antérieures à la 5.5 sont totalement immunisées.Les neufs failles ont étés découvertes par la société Grey Magic, qui a rapidement publié ses trouvailles. Cette démarche a exaspéré Microsoft, qui déplore de ne pas avoir eu le temps de réagir : “Nous regrettons que ce rapport ait été rendu public avant que nous ayons eu la moindre occasion de l’étudier. Sa publication pourrait mettre nos clients en danger, et au minimum semer la confusion et le doute “, fait remarquer Bernard Ourghanlian dans ce qui semble désormais être la réponse officielle à chaque découverte d’une faille par un tiers.De son côté, Grey Magic se dédouane en expliquant que Microsoft refuse habituellement de reconnaître les failles et ne réagit qu’une fois mis au pied du mur. Mais dans cette querelle de clochers, l’essentiel demeure : Internet Explorer est de nouveau gravement mis en défaut, et aucun correctif n’est encore disponible. “Nous faisons en sorte d’avancer au plus vite sur cette investigation “, déclare Bernard Ourghanlian.
De nombreuses possibilités d’abus
Concrètement, toutes ces nouvelles failles permettent à un pirate d’échapper au cloisonnement que le navigateur met en place entre Internet et le système local. On peut ainsi forcer un script issu d’une page web (zone ” Internet “) à agir sur le système (zone ” Locale “) et ainsi voler un cookie d’authentification, lancer un programme quelconque ou récupérer des documents.Pourtant, Internet Explorer se protège habituellement plutôt bien contre ces attaques : le navigateur s’assure, lorsque le contenu de deux fenêtres cherche à communiquer, que toutes les deux appartiennent à la même zone de sécurité (Internet ou Locale).Hélas, les développeurs de Microsoft ont oublié d’étendre ces contrôles à certaines méthodes et objets du navigateur (notamment ceux liés au cache). C’est grâce à ces composants qu’un pirate peut jouer aux vases communicants et manipuler une fenêtre locale depuis une fenêtre Internet.En attendant le correctif ad hoc, la seule protection est de désactiver les fonctions de script d’Internet Explorer. Ou de profiter de loccasion pour essayer un autre navigateur, tel Mozilla ou Opera…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
