Un correctif global pour Internet Explorer

"C'est jeudi, c'est patch".
C'est en tout cas ce que le site SecurityFocus ou notre confrère Réseaux & Télécoms appellent "le patch du jeudi". MicrosoftMicrosoft publie ainsi un nouveau correctif global pour Internet Explorer 5 et 6, et en profite pour régler deux (nouveaux) problèmes graves.

La première de ces deux failles inédite est jugée critique par l'éditeur, puisqu'elle permet à un attaquant d'exécuter n'importe quel code sur l'ordinateur de sa victime. Il lui suffit pour cela de l'amener à visiter son site web, qui aura été piégé pour l'occasion.

La faille exploite une nouvelle fois les contrôles laxistes qu'Internet Explorer met en place entre les différents sites visités. Il serait ainsi possible de faire exécuter le code issu d'un site dans une autre fenêtrefenêtre du navigateurnavigateur... qui pourrait alors être une zone locale.

La seconde faille est du même type que la précédente, mais exploite la fonction d'affichage de l'aide du navigateur (ShowHelp()). La solution de Microsoft est alors plutôt expéditive : le patch désactive tout simplement la fonction, et il est alors nécessaire d'en installer soi-même une nouvelle version, corrigée, via Windows Update !
lien

En savoir plus : L'alerte sur le site de Microsoft