Deux failles de sécurité critiques pour Internet Explorer

Pas de chance pour Internet Explorer : deux failles considérées très critiques par les experts en sécurité ont été découvertes coup sur coup.

La première concerne l'utilisation du contrôle ActiveX, et plus particulièrement la fonction CPathCtl::KeyFrame(). Cette vulnérabilité, qui touche les versions 5.01 et 6 d'Internet Explorer tournant sous toutes les versions de Windows, permettrait l'exécution d'un code arbitraire sur la machine par le biais d'une page HTML infectée, même pour des machines sous Windows XP SP2 à jour des correctifs publiés par Microsoft.

Prenez garde, une partie du code permettant d'exploiter cette faille a été publiée sur le net et elle serait relativement facile à mettre en place. Le géant de Redmond recommande la désactivation de l'ActiveX et de l'Active Scripting et précise que Windows Server 2003 n'est pas affecté en raison de la désactivation par défaut de l'Active Scripting.

La seconde vulnérabilité touche le Vector Markup Language, une application du XML servant à définir un moyen standardisé pour décrire des documents contenant des informations de type vecteur. Un nouvel exploit Zero Day vient d'être trouvé par l'équipe de sécurité de Sunbelt sur Internet Explorer. Cette faille, validée pour Internet Explorer 6 sous un Windows XP SP2 totalement à jour niveau correctifs, et que Secunia considère comme extrêmement critique, entrainerait un débordement de la mémoire tampon.

Les conseils des experts sont bien sûr de ne pas naviguer sur des sites dont vous n'êtes pas absolument certains et, comme pour la faille précédente, de désactiver l'Active Scripting. Quant aux conseils d'EchosDuNet, ils sont relativement simples : utilisez un autre navigateur, au moins tant que les correctifs n'auront pas été apportés.

Pour désactiver l'Active Scripting :

• Outils / Options Internet / Onglet Sécurité : cliquer sur Personnaliser le niveau
• Dans Script et Active scripting : cocher Désactiver
• Valider