Les astuces d'Internet Explorer

Il faudrait utiliser un autre navigateur pour certain PC.

Une nouvelle faille de sécurité qualifiée de «critique» par les principaux observateurs vient d'être décelée dans Internet Explorer (IE 6 pour Windows 2000 et XP SP1). Une faille nouvelle mais susceptible de provoquer toujours les mêmes effets: elle pourrait être exploitée par une personne mal intentionnée pour prendre le contrôle du système à distance.
Elle a d'abord été rapportée le 2 novembre par la société danoise de recherche en sécurité Secunia. Le lendemain, elle a fait l'objet d'un avis du centre d'alerte officiel du gouvernement américain (US-Cert). Et en France, le 4 novembre, c'était au tour du Cert-IST, un centre de veille réservé à quelques grandes entreprises ou administrations françaises, d'enfoncer le clou. Tous l'ont classée au sommet ou presque de leurs échelles de risque respectives.
Si le danger est plus sensible aujourd'hui, c'est parque que des détails de cette faille (un programme de démo) ont été diffusés sur un site internet prônant la transparence sur les bugs de logiciels.

Cette vulnérabilité se situe au niveau de la gestion de certaines balises HTML par Internet Explorer. Il s'agit des balises "frame" et "iframe" qui permettent d'insérer des cadres dans une page web ou un e-mail écrit en HTML.

D'autres programmes susceptibles d'être touchés
Elle pourrait être exploitée pour créer un dépassement de la mémoire tampon (buffer overflow). Une défaillance qui survient lorsqu'un programme demande davantage de mémoire qu'il n'en dispose. Le programme accède alors à des zones qui ne lui sont pas destinées. Une situation qui permet d'exécuter du code à distance sur la machine-cible, afin d'en prendre le contrôle.
Désactiver les comportements dynamiques dans Internet Explorer, comme les contrôles ActiveX, et les scripts JavaScripts comme l'indique Microsoft sur son site (...) peut «protéger contre les programmes d'exploitation actuels» de la faille mais ne la «supprime pas», indique le Cert-ITS.
L'US-Cert précise dans son alerte du 3 novembre que, outre IE, d'autres programmes permettant de lire des pages HTML sont susceptibles d'être affectés, tels que Outlook, Outlook Express ou Lotus Notes.
Pour ceux qui ne souhaitent pas passer à XP SP2, il n'y a hélas encore aucun patch disponible chez Microsoft. L'éditeur pourrait changer d'avis, a-t-il déclaré à notre bureau de San Francisco. Pourtant il avait affirmé qu'il ne mettrait plus jamais à jour son navigateur pour les OS autres que XP SP2.
Secunia conseille donc, dans ces conditions, «d'utiliser un autre produit». Même chose chez les experts français: «Tant que l'éditeur ne fournit pas de correctif, nous recommandons d'utiliser un autre navigateur», indique un porte-parole.