Une vulnérabilité 0-day touche IE6 et IE7

Alexandre Laurent
Publié le 23 novembre 2009 à 17h54
00B4000001986324-photo-internet-explorer-8-final-logo-clubic.jpg
La publication d'un exploit révèle la présence d'une vulnérabilité qui touche les versions 6 et 7 du navigateur de Microsoft, Internet Explorer, lorsque la prise en charge de JavaScript est activée, sous Windows 2000, XP, et Server 2003. L'éditeur en sécurité Symantec confirme l'existence de cette faille et prévient que si le code malicieux mis en ligne n'est que moyennement efficace, il pourrait donner naissance à de nouvelles menaces, plus virulentes cette fois.

D'après Vupen Security, cette vulnérabilité réside au sein du composant Microsoft HTML Viewer (mshtml.dll) et se situe plus précisément au niveau de la façon dont ce dernier interprète les feuilles de style (CSS pour Cascading Style Sheet), ces fichiers qu'utilisent les webmasters pour régir la mise en forme d'une page HTML.

Le pirate qui souhaite exploiter cette vulnérabilité n'aurait qu'à piéger en conséquence une page Web. Il parviendrait alors à faire s'exécuter le code de son choix sur la machine de la victime. En attendant que Microsoft corrige cette faille, les utilisateurs qui craignent pour leur sécurité sont invités à désactiver JavaScript au sein de leur navigateur, ou à se tourner vers un autre logiciel qu'Internet Explorer. Microsoft n'a pour l'instant pas commenté cette découverte. On ne sait donc pas si la correction attendra la prochaine livraison mensuelle de correctifs publiés par l'éditeur, prévue pour le 8 décembre prochain, ou si elle fera l'objet d'un correctif exceptionnel.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles