au sommaire
Une faille de plus va être rebouchée... © Windows
La faille est dite « zero day », c'est-à-dire découverte alors qu'elle est déjà exploitable. Elle est ouverte dans Internet Explorer et concerne le format MHTML. Avec un M pour Mime (Multipurpose Internet Mail Extensions), cette manière de coder un script HTML permet d'encapsuler une page Web entière, avec tous ses éléments (photos, vidéos...), dans un seul fichier. Le codage Mime est utilisé dans les logiciels de courrier électronique pour inclure dans un message un affichage décrit en HTML ou même des caractères accentués, non prévus à l'origine dans le courrier électronique qui ne connaissait que le code ASCIIASCII à 7 bits.
L'alerte de Microsoft explique qu'Internet Explorer, en ouvrant ce genre de fichier, peut exécuter consciencieusement les codes qui s'y trouvent encapsulés. Un programme malveillant peut donc s'y cacher et être lancé à ce moment. Il faut pour cela que l'utilisateur ouvre une page Web déclenchant l'ouverture du fichier et clique là où on lui demande. Un logiciel de messageriemessagerie reconnaissant le MHTML ferait de même, mais Outlook et Windows Mail disposent d'une sécurité à cet égard et, par défaut, désactivent ces scripts inclus dans un e-mail. Côté navigateursnavigateurs, hormis Internet Explorer, seul Opera reconnaît ce format MHTML.
Les ingénieurs de MicrosoftMicrosoft travaillent pour colmater la brèche...
