La dernière vulnérabilité en date chez Internet Explorer permet à un site web de faire ouvrir avec n'importe quelle application un document téléchargé. Il devient ainsi possible de maquiller un exécutable en un fichier anodin et le faire ouvrir après son téléchargement.

au sommaire

    Nouvelle vulnérabilité d'Internet Explorer : attention aux téléchargements

    Nouvelle vulnérabilité d'Internet Explorer : attention aux téléchargements

    En modifiant d'une façon particulière le nom d'un fichier exécutable offert en téléchargement sur un site web, il est possible de faire croire à Internet Explorer 6 qu'il s'agit d'un format quelconque. Pour l'utilisateur qui cliquerait sur le lien, la boîte de dialogue habituelle s'ouvre alors, proposant d'ouvrir le fichier avec l'applicationapplication ad-hoc (par exemple un logiciel de visualisation d'images ou le lecteur PDF selon le type apparent du fichier) ou de le sauvegarder sur le disque.

    L'imprudent qui choisirait d'ouvrir le fichier directement serait alors piégé : l'exécutable serait lancé dès son téléchargement, sans intervention de l'utilisateur.

    Pour éviter cette faille en attendant un correctif de MicrosoftMicrosoft, il convient de ne jamais ouvrir directement les fichiers téléchargés, mais de les enregistrer plutôt sur le disque durdisque dur. C'est d'ailleurs une bonne habitude à prendre tellement sont nombreuses les failles qui reposent sur la mystification de l'utilisateur au moment de télécharger un fichier en apparence sans danger.