Une nouvelle faille pour Internet Explorer

Il s'agit d'une faille dans ApplicationApplication.Shell et Jelmer Kuperus reproche à MicrosoftMicrosoft de ne pas avoir traité le problème en même temps que celui d'Adodb.Stream car Microsoft aurait dû le voir.

Dans certaines conditions, cette faille permettrait d'exécuter des scripts hostiles dans la zone locale, qui est généralement la moins protégée. Ce problème ne serait pas nouveau mais était considéré comme mineur. Or actuellement on constate que beaucoup d'exploits (c'est le terme consacré en informatique) sont fondés sur l'utilisation conjointe de plusieurs failles dont aucune ne serait suffisante à elle seule.

Microsoft a reconnu l'existence du problème et a déclaré travailler pour fournir dans les prochaines semaines une série de correctifs destinés à améliorer la sécurité d'Internet Explorer.

L'accumulation des failles découvertes dans le navigateur de Microsoft finit par poser un problème qui est pris très au sérieux par l'US-CERT. Cette agence gouvernementale, chargée des problèmes de sécurité informatique, fait désormais partie du « Homeland Security Department », la partie de l'administration américaine dédiée à la sécurité intérieure et à la lutte contre le terrorisme.

Dans un avis intitulé Vulnerability Note VU#713878, dont la dernière mise à jour date du 6 juillet (donc avant découverte de la faille décrite ici) cet organisme donnait six conseils dont le dernier est le suivant :
« Il y a un certain nombre de vulnérabilités significatives dans les technologies d'Internet Explorer en rapport avec le modèle des zones de sécurité, le modèle d'objet DHTML, la détermination du type MIMEMIME et les ActiveXActiveX. Il est possible de réduire l'exposition à ces vulnérabilités en utilisant un type de navigateur différent, en particulier lors de la visite de sites peu sûrs... »

Internet Explorer va-t-il être désavoué par l'administration américaine ?