Encore une faille de sécurité dans Internet Explorer. Découverte par le consultant Georgi Guninski, ce trou de sécurité donne accès aux fichiers du disque dur local d'un utilisateur. Une réminiscence d'un précédent bogue visiblement mal corrigé par Microsoft...
Le consultant informatique et chasseur de bogues à ses heures Georgi Guninski a révélé, le 1er janvier dernier, une nouvelle faille de sécurité qui touche les versions 5.5 et 6.0 d'Internet Explorer, qu'elles soient "patchées" ou non. Selon le spécialiste, la fonction "GetObject()" associée à un chemin (type "https://"+location.host+"/../test.txt") permet d'accéder au disque dur de l'utilisateur via Internet.
Cette faille est fortement similaire à un précédent bogue également découvert par Georgi Guninski sur IE 5.5 et Outlook Express en 2000. Microsoft avait d'ailleurs fini par livrer un correctif. Visiblement, tous les trous n'avaient pas été bouchés. Et, à ce jour, rien n'est disponible pour ce nouveau problème. Georgi Guninski déclare avoir informé l'éditeur le 11 décembre dernier. Ne voyant rien venir trois semaines après sa découverte, le consultant en sécurité a estimé légitime de révéler la faille.
Conseils de sécurité
En attendant un nouveau correctif, Georgi Guninski conseille de désactiver l'"Active Scripting" dans les paramètres de sécurité (Outils, Options Internet puis onglet Sécurité et Personnaliser le niveau...). Ou de "ne pas utiliser IE dans un environnement hostile comme Internet". Tout simplement.
Par Christophe Lagane
pour :
VnuNet