Extraits de l’article publié par ZDnet
Internet Explorer : une faille chasse l’autre...
Par Christophe Guillemin
ZDNet France
Jeudi 2 décembre 2004
La vulnérabilité "iframe" est enfin colmatée, après avoir été exploitée notamment par deux virus. Problème : des experts français recommandent toujours d’utiliser un autre navigateur. À cause d’une autre faille dangereuse non patchée.
Microsoft a publié mercredi 1er décembre un correctif logiciel destiné à colmater la dernière faille critique d’Internet Explorer, surnommée "faille iframe". Soit un mois après sa découverte. Elle déjà été exploitée par deux parasites informatiques (Bofra.A et Bofra.B), basés sur le code du virus-ver Mydoom et dont la dangerosité a été classése "moyenne".
Cette vulnérabilité a également permis d’infecter des systèmes avec un cheval de Troie via des bannières publicitaires postées sur le site d’information britannique The Register le 20 novembre.
...
« Il demeure six failles non corrigées dans IE, dont une autre faille critique, moins médiatisée, mais tout aussi dangereuse », explique à ZDNet Pierre Forget, chef de projet au Cert-IST. Découverte le 21 octobre dernier, cette vulnérabilité dite "drag and drop", se situe au niveau de la fonction glisser/déposer du navigateur. Encore une fois, elle pourrait être exploitée pour prendre le contrôle d’un système à distance.
...
Le centre, qui réserve ses avis à ses seuls membres (quelques administrations et grandes entreprises) et à la presse, conseille toujours d’utiliser « en environnement sensible » des « alternatives à IE », ou du moins de désactiver ActiveX et JavaScripts. Quelles « alternatives » ? Le Cert-IST se garde de formuler une préférence mais indique qu’il n’existe aucune faille non corrigée pour Firefox 1.0 ; et que la suite internet Mozilla 1.7.3 est vulnérable à six problèmes de sécurité « de criticité peu élevée », dont aucune critique.
Avec Robert Lemos à San Francisco de CNET News.com
