Microsoft commence l'année comme il l'a terminée : avec une faille non corrigée dans Internet Explorer. L'éditeur vient en effet de publier une alerte de sécurité concernant son navigateur pour toutes les versions de Windows à l'exception de Windows Server 2008 et R2 s'ils sont installés en utilisant l'option Server Core.
La vulnérabilité 'zero day', c'est-à-dire publique et exploitable, est similaire aux brèches type cross-site scripting (XSS) qui permettent l'exécution de script malveillant sur le poste client depuis une page Web piégée.
Opera touché ?
"Le problème vient de la manière dont le MHTML interprète les requêtes au format MIME pour les blocs de contenu dans un document", explique Microsoft dans son bulletin.
"Dans certaines conditions, cette faille permet à un attaquant distant d'injecter un script côté client dans la réponse d'une requête Web s'exécutant dans Internet Explorer".
Rappelons que le format MHTML pour "MIME Encapsulation of Aggregate Documents, such as HTML", permet d'encapsuler dans une page HTML, les images et les contenus correspondants dans un seul fichier.
Aucun correctif n'est disponible. En attendant, Microsoft préconise de verrouiller le protocole MHTML. L'éditeur précise néanmoins qu'il n'a pas constaté "pour le moment" d'attaques exploitant cette vulnérabilité.
A noter, Opera pourrait également être concerné par cette brèche puisque le navigateur prend également en charge le format MHTML.
Auteur : la rédaction, ZDNet France.
Voir aussi le diaporama : 10 techniques pour détecter un virus informatique.
Sur le même sujet : "Windows : encore une faille de sécurité non corrigée", par Stéphane Long 01net.
