internet_explorer_7_logo.png

La firme de Redmond signale une nouvelle vulnérabilité qui frappe Internet Explorer, toutes versions confondues. Cette faille faille liée à VBscript autorise l'exécution de code distant donc, le risque de prise de contrôle de la machine affectée.

La vulnérabilité en question ne concerne que les environnements Windows 2000 SP4, XP (SP2 et 3 et version 64 bits) et Server 2003. Microsoft confirme que Windows Vista (SP1 et 2), 7 (32 et 64 bits) et Server 2008 R2 (toutes plates-formes confondues) ne sont pas affectés par le bug.

La vulnérabilité apparaît dans la façon dont VBScript interagit avec les fichiers d'aide de Windows lorsqu'il utilise Internet Explorer.

Si un site malintentionné affiche une boîte de dialogue spécialement conçue et qu'un utilisateur appuie sur la touche F1, du code arbitraire pourrait être exécuté dans le contexte de configuration de la sécurité de l'utilisateur connecté à ce moment, Autrement dit, pour être exploitée, la vulnérabilité nécessite un ensemble de paramètres qui devrait en limiter la propagation.

Il n'en reste pas moins une faille actuellement exploitable et non-corrigée sur laquelle la firme de Redmond déclare travailler avec ses partenaires. Il en résultera un correctif livré lors d'un prochain bulletin mensuel de sécurité ou bien dans le cadre d'une mise à jour immédiate selon l'urgence

Dans l'attente du correctif, Microsoft conseille de passer vers un OS non affecté par la brèche de sécurité, ou de désactiver l'Active Scripting du navigateur en sélectionnant le plus haut niveau de sécurité proposé dans Internet Explorer mais cette modification présente l'inconvénient d'interdire l'accès aux fonctionnalités de certaines pages web...