David Leo, chercheur en sécurité pour la société Deusen, n'y va pas par quatre chemins : avec cette faille, « les assaillants peuvent voler ou injecter n'importe quoi » en contournant une règle en place depuis Netscape 2.0, la Same Origin Policy, ou restriction d'origine.
Cette règle vise à empêcher l'accès - en lecture ou en écriture - à des serveurs dont le nom de domaine est différent de celui visité. Par exemple, cela évite que, dans le cas d'un site A utilisant du JavaScript pour ouvrir un site B dans une nouvelle fenêtre de navigateur, le script du site A ne modifie les informations ou les propriétés du site B.
En pratique, cela permet, à partir d'une page Web piégée, de dérober les cookies sur l'ordinateur d'un internaute, ou encore de s'approprier le contenu d'un autre site Web, par exemple un site bancaire.
Ce n'est pas la première fois que Microsoft rencontre quelques difficultés de gestion de cette règle de base : IE 5.5 et 6 souffraient déjà, en leurs temps, d'une faille de sécurité similaire, causée par le Jscript.
Découvert le 13 octobre dernier, ce problème n'est actuellement toujours pas corrigé par Microsoft, et concerne aussi bien Internet Explorer que Spartan. Il est donc conseillé d'utiliser un autre navigateur, en attendant le correctif promis par Microsoft.
Télécharger Internet Explorer 9 pour Windows.
