Internet Explorer est victime de deux nouvelles vulnérabilités exploitables malgré le Service Pack 2 de Windows XP. Elles permettent l'exécution de code sur le PC de la victime et peuvent être menées depuis un site web malicieux. Il n'y a aucun correctif pour l'instant.

au sommaire

    Deux failles graves pour Windows XP SP2

    Deux failles graves pour Windows XP SP2

    Cela vous intéressera aussi

    Même si le Service PackPack 2 de Windows XPWindows XP constitue une véritable avancée pour la sécurité de ce système, il n'en demeure pas totalement étanche pour autant. Deux vulnérabilités pour InternetInternet Explorer viennent ainsi d'être annoncées, et elles sont parfaitement exploitables même sur les PCPC protégés par le SP2 et les tous derniers correctifs de sécurité.

    Dans les deux cas, il s'agit d'une erreur de validation de l'origine du code HTMLHTML, qui permet au pirate d'agir sur la zone dite "locale", censée être mieux protégée.
    Pour que l'attaque soit efficace, ces deux faillesfailles doivent être exploitées en collaboration : la première permet de déposer automatiquement un fichier HTML contenant du code actif sur le système. A ce stade cependant, le SP2 fait correctement son travail et il en interdira l'exécution comme il se doit.

    Mais la seconde faille permet, à partir d'un simple fichier d'index piégé déposé sur un site web, d'exécuter n'importe quel code actif présent sur le système, en dépit de la vigilance du SP2.

    Selon la société SecuniaSecunia, qui reprend cette alerte, l'attaque a été testée avec succès sur un système Windows XP doté d'Internet Explorer 6.0, entièrement mis à jour et doté du Service Pack 2. En attendant le correctif, il est conseillé d'utiliser un autre navigateurnavigateur ou de désactiver l'exécution de code actif (Javascript, VBScript, etc...).
    Il n'y a pas de correctif à cette faille pour l'instant. Elle sera probablement prise en charge dans le bulletin d'alerte mensuel du mois de novembre.