Six nouvelles failles sont avouées et corrigées par l'éditeur dans son navigateur Web. Considérées comme "critique", les six nouvelles failles annoncées par Microsoft de son Internet Explorer font l'objet d'un correctif cumulatif des plus lourds...

Mais surtout, le correctif comble des défaillances révélées par des spécialistes indépendants ces dernières semaines. C'est maintenant une règle pour Microsoft de faire du bruit avec ses corrections de bugs.
La première peut permettre à un attaquant de faire tourner un script sur le PC de l'utilisateur à son insu, simplement par l'insertion script caché dans l'URL d'un autre site.
Une autre touche à l'utilisation des feuilles de style enrichies (Cascading Style Sheets) qui, par l'intermédiaire d'un simple objet HTML, permet à un attaquant de lire les données sur le PC, sans toutefois pouvoir les modifier. Dans le même genre et avec les mêmes conséquences, la troisième faille permet également de lire les données de l'utilisateur grâce à un cookie contenant lui-même un script.

La quatrième faille est plus délicate. Elle permet à un hacker de bâtir une page Web pouvant tromper certaines sécurités du navigateur, plus spécialement la distinction des zones de "sites de confiance" comme les Intranet. Cette faille permet d'attirer un utilisateur a priori protégé vers un site malfaisant.

La cinquième et la sixième sont en fait des variantes d'une faille de "disposition de contenu" déjà corrigée par Microsoft. Elle permet de masquer un programme exécutable derrière un fichier de contenu utilisé par une page Web ou un mail HTML.

Enfin, la dernière correction permet d'interdire les pages contenant des cadres (frames) des zone dites de 'sites à restrictions'. Cette fonction sécurisera d'autant la lecture des email HTML. Elle empêche en effet un mail HTML d'ouvrir tout seul une nouvelle fenêtre Windows sur le PC.

Par Eric Chreiki pour :
Silicon