Une faille majeure dans Internet Explorer

On apprenait vendredi soir, l’existence d’une nouvelle vulnérabilité critique dans Internet Explorer, le navigateur vedette de Microsoft. Le bug peut entraîner le plantage pur et simple du logiciel, et la faille réside dans la librairie MSHTML. Un tag HTML malformé avec un nombre anormalement important de routines. En clair une personne malintentionnée peut faire planter IE en faisant déborder son buffer. Les détails de la faille ont été rendu public par Michal Zalewski via le bulletin Bugtraq. Symantec a déjà validé le code exemple permettant d’exploiter la faille dans certaines circonstances bien précises. McAfee a publié dès vendredi une mise à jour de ses définitions de virus pour tenter de prévenir l’exécution de code tirant profit de cette faille.

Symantec estime par ailleurs que le bug pourrait avoir des conséquences plus sérieuses et investigue actuellement la possibilité d’utiliser la faille pour exécuter du code à distance. Pour l’instant aucun correctif n’est disponible auprès de Microsoft et le géant des logiciels n’a pas encore réagit à la découverte. D’après Zalewski les navigateurs Opera et Firefox ne sont pas affectés.