Internet Explorer au banc des accusés

La polémique monte sur ce qu'on pourrait qualifier d'affaire Google en Chine. Non seulement Google menace de partir de Chine, suite à cette attaque, mais Microsoft est mis au banc des accusés pour cette même attaque. Cette dernière aurait en effet été menée grâce à une faille de sécurité présente dans toutes les versions d'Internet Explorer.

Microsoft assure de son côté ne pas être responsable de cette attaque et estime que l'attaque contre Google n'est pas liée à la faille de sécurité du navigateur. Selon Microsoft, "il suffit" de régler le navigateur sur le paramètre de sécurité "Elevé" pour régler le problème. Toutefois, le géant de Redmond ne propose toujours pas de patch correctif pour son navigateur.

Deux organismes, Allemands et Français, appellent à ne plus utiliser le navigateur Microsoft Internet Explorer, et préconisent l'utilisation d'un navigateur alternatif. Ces recommandations ont été faites par le Certa en France qui a publié un bulletin d'alerte le 15 janvier 2010. Celui-ci précise qu'un code arbitraire peut être exécuté depuis les versions 6, 7 et 8 d'internet explorer :

"Une vulnérabilité due à une référence à un pointeur non valide permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Des exploitations limitées de cette vulnérabilité ont déjà été constatées."

Le Certa recommande donc l'utilisation d'un navigateur alternatif tant que Microsoft n'aura pas réglé ce problème. Il est également recommandé de désactiver l'interprétation de code dynamique (JavaScript, ActiveX, ...). L'activation du DEP (Data Execution Prevention) peut limiter l'impact de cette vulnérabilité.

En Allemagne, le BSI demande aux utilisateurs allemand de ne plus utiliser Microsoft Internet Explorer.