au sommaire
Internet Explorer sous haute surveillance : faille critique
Une vulnérabilité non corrigée capable d'offrir le contrôle de l'ordinateur à la seule visite d'un site web est déjà un souci majeur. Mais lorsqu'un groupe de pirates décide de publier son mode d'emploi sur Internet, la situation devient franchement explosive.
Et c'est précisément ce qui est entrain de se passer pour Internet Explorer. Découverte en mai dernier, la vulnérabilité a d'abord été considérée comme mineure car elle ne permettait que de faire "planter" le navigateur. MicrosoftMicrosoft n'avait semble-t-il même pas jugé nécessaire de la corriger.
Mais voilà qu'aujourd'hui les squelettes sortent du placardplacard : un groupe de pirates vient d'annoncer que cette faille est beaucoup plus grave que ne le pensait l'éditeur. Et pour le prouver, il vient de publier un code d'exploitation fonctionnel capable de prendre le contrôle de l'ordinateur à la seule visite d'un site web piégé.
La vulnérabilité concerne Javascript, et plus précisément la commande OnLoad lorsqu'elle est utilisée avec la fonction window()). Son exploitation a été confirmée avec toutes les versions de Windows et Internet Explorer 5 et 6, y compris celles entièrement à jour de leurs correctifs de sécurité. Seule exception : Windows Server 2003, qui ne serait pas vulnérable grâce à sa bonne utilisation de droits réduits.
En l'absence de tout correctif disponible, Internet Explorer est donc à nouveau une cible toute désignée pour les mafias du web, qui vivent de l'installation sauvage de logiciels publicitaireslogiciels publicitaires ou de robots (les fameux bots chargés de créer un réseau de PC zombies qui seront ensuite loués pour l'envoi de spamspam ou l'attaque de sites web commerciaux).
L'impact de cette vulnérabilité pourrait être particulièrement sévère. Seul motif de réconfort : il n'y a actuellement aucune vulnérabilité serveurserveur exploitable en parallèle. Les sites web piégés devraient donc se limiter à ceux que contrôlent déjà les escrocs. L'on devrait ainsi pouvoir éviter une attaque massive à la façon de Scob.
En attendant le correctif, les adeptes d'Internet Explorer (car il en reste...) devraient désactiver l'Active Scripting dans les options de leur navigateur, ou se faire violence et télécharger un autre navigateur, Opera ou Firefox par exemple.
Addendum (Futura-Sciences)
Selon d'autres sources, Firefox et Opera seraient également sensibles à cette faille, au moins sous la forme d'un déni de servicedéni de service.