Vous, les utilisateurs d'Internet Explorer 6 sous Windows XP SP1 ou Windows 2000 SP4, l'avez peut-être oublié, mais Microsoft devait sortir, le 22 août dernier, un patch visant à combler une vulnérabilité apparue avec un des correctifs diffusés au début du mois (voir Correctif problématique pour Internet Explorer). En raison de problèmes rencontrés lors d'un test final, Microsoft ne l'a finalement pas publié. Prudent, l'éditeur n'avance maintenant plus aucune date et se contente d'indiquer qu'il sera mis en ligne lorsqu'il répondra au niveau de qualité suffisant pour une distribution à grande échelle.
Microsoft précise par ailleurs être au courant des rapports émis au sujet du correctif du 15 août relatif à IE6 qui, non content de provoquer des plantages sous XP SP1 et 2000 SP4, pourrait maintenant être utilisé pour programmer des dépassements de mémoire tampon (buffer overflow), une technique régulièrement utilisée par les pirates. « Nous ne sommes pas au courant d'attaques tirant parti de cette vulnérabilité pour le moment », indique toutefois l'éditeur. La firme eEye Digital Security souligne notamment cette faille qu'elle qualifie de « critique ».
D'après certaines sources, le retard de Microsoft pourrait avoir été occasionné par un problème dans les processus que l'éditeur utilise en interne pour mettre au point et publier les fichiers .cab qui tiennent lieu de correctifs. Ces processus sont rassemblés au sein du Systems Management Server, un utilitaire propriétaire chargé de simplifier la mise au point, le suivi et la gestion des correctifs logiciels.
En plus de souligner l'importance de la nouvelle faille découverte dans le correctif MS06-042, eEye insiste sur le fait qu'il est anormal que les consommateurs soient en danger alors que le problème vient d'un défaut dans la chaîne de production interne à Microsoft. En attendant un éventuel correctif, les utilisateurs de Windows XP SP1 et de Windows 2000 SP4 pourront toujours désactiver temporairement dans les paramètres d'Internet Explorer l'option relative au HTTP 1.1 ou, pour les premiers, passer au Service Pack 2...