Après le correctif du mois d’octobre, puis celui du mois de novembre, Microsoft propose en décembre une nouvelle mise à jour importante pour Internet Explorer 6 et 5.5. Le correctif (patch) mis en ligne par l’éditeur comble toutes les failles précédemment découvertes, ainsi que trois nouvelles, et non des moindres :- la première ne concerne qu’Internet Explorer 6. Elle permet de déguiser, par exemple, un fichier exécutable malicieux (.exe) en un document HTML. Ainsi, lorsque l’internaute accède au fichier avec son navigateur, celui-ci le lance sans même demander l’autorisation ;- la seconde repose sensiblement sur le même mécanisme, à la différence près qu’Internet Explorer demande l’autorisation préalable de télécharger le fichier, inoffensif en apparence, un .gif par exemple ;- la troisième, enfin, permet au pirate de visualiser l’arborescence du disque dur, et même de lire tous les fichiers qui peuvent s’afficher dans le navigateur : les fichiers HTML, bien sûr, mais également les images et les .txt. S’il ne peut pas modifier les fichiers, le pirate connaîtra l’emplacement exact du document sur l’ordinateur de sa victime. Il pourra tenter de le récupérer par d’autres moyens. La faille concerne IE 5.5 et 6.Microsoft vient de mettre en ligne un correctif pour les versions 5.5 SP2 et 6.0, valable dans toutes les langues. Il n’est pas encore proposé par l’option Windows Update d’Internet Explorer, mais il est téléchargeable sur le site de l’éditeurPour l’anecdote, c’est la société finlandaise Internet Explorer. Online Solutions Oy avait froissé Microsoft en choisissant de publier l’information avant la sortie du correctif, et léditeur avait refusé de lui accorder la paternité de la découverte. Ils se sont désormais réconciliés, et Microsoft remercie Oy pour sa découverte…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
