A peine 24 heures et déjà une faille pour IE7? màj

Alors que la version finale d'Internet Explorer 7.0 vient tout juste de sortir (voir Internet Explorer 7.0 pour XP en téléchargement), la nouvelle version du navigateur vedette de Microsoft semble déjà mise en défaut par la découverte d'une vulnérabilité. La vulnérabilité en question est détaillé dans un bulletin Secunia (voir lien) et provient d'une erreur dans la gestion des redirections pour les adresses commençant par « mhtml: ».

Cette faille pourrait être utilisée pour accéder aux documents servis par un autre site Internet. Loin d'être critique, la vulnérabilité serait déjà corrigée dans Windows Vista alors que sous Windows XP elle serait plus ou moins liée à Outlook Express. Microsoft dit se pencher sur le problème et devrait au besoin publier un correctif dans les semaines à venir.

Mise à jour : la réponse de l'éditeur n'a finalement pas tardé. Sur le Microsoft Security Response Center Blog, Christopher Budd, développeur chez Microsoft, explique que l'interprétation de Secunia n'est pas correcte, dans la mesure où la faille concerne un composant d'Outlook Express et non Internet Explorer 7. Le navigateur pourrait être utilisé comme un moyen d'accéder à cette vulnérabilité mais n'en serait pas directement responsable. Il précise qu'à sa connaissance, cette faille n'a jamais été exploitée.