Encore une faille dans IE
Publié : mer. sept. 20, 2006 11:57 am
http://www.branchez-vous.com/actu/06-09/10-295503.htmlUne nouvelle faille critique du navigateur de Microsoft, qui affecte notamment Windows XP, serait actuellement exploitée par des webmestres peu scrupuleux pour installer des logiciels espions dans le PC de leurs visiteurs.
L'alerte a été lancée lundi soir par un spécialiste en sécurité informatique de Sunbelt Software. Dans le blogue de l'entreprise, Eric Sites indique qu'un site Web à caractère pornographique exploitait déjà un bogue d'Internet Explorer qui n'était pas encore connu officiellement (zero-day dans le jargon informatique anglais).
L'information a rapidement été relayée par des firmes de surveillance en sécurité informatique, notamment par FrSIRT qui explique dans une alerte que cette brèche peut être exploitée pour provoquer un débordement de mémoire tampon à l'aide d'un «document Vector Markup Language (VML) contenant un tag "rect" avec un attribut "fill" excessivement long».
Microsoft a également réagi en publiant un avis de sécurité qui confirme l'existence de cette faille dans l'implémentation du langage VML sous Windows, et qui indique qu'une mise à jour devrait être publiée le 10 octobre 2006 ou plus tôt si cela s'avérait nécessaire.
En attendant la publication d'un correctif officiel, le document de Microsoft suggère quelques solutions pour contourner ce problème: suppression de l'enregistrement de la librairie «vgx.dll», modification des permissions pour l'accès à ce dernier module, modification de paramètres dans la configuration d'Internet Explorer et lecture des courriels en mode texte. En outre, le géant du logiciel suggère fortement aux internautes de maintenir leur logiciel antivirus à jour. Tous les détails dans l'avis de sécurité 925568.
