Une vulnérabilité 0-day touche IE6 et IE7

La publication d'un exploit révèle la présence d'une vulnérabilité qui touche les versions 6 et 7 du navigateur de Microsoft, Internet Explorer, lorsque la prise en charge de JavaScript est activée, sous Windows 2000, XP, et Server 2003. L'éditeur en sécurité Symantec confirme l'existence de cette faille et prévient que si le code malicieux mis en ligne n'est que moyennement efficace, il pourrait donner naissance à de nouvelles menaces, plus virulentes cette fois.

D'après Vupen Security, cette vulnérabilité réside au sein du composant Microsoft HTML Viewer (mshtml.dll) et se situe plus précisément au niveau de la façon dont ce dernier interprète les feuilles de style (CSS pour Cascading Style Sheet), ces fichiers qu'utilisent les webmasters pour régir la mise en forme d'une page HTML.

Le pirate qui souhaite exploiter cette vulnérabilité n'aurait qu'à piéger en conséquence une page Web. Il parviendrait alors à faire s'exécuter le code de son choix sur la machine de la victime. En attendant que Microsoft corrige cette faille, les utilisateurs qui craignent pour leur sécurité sont invités à désactiver JavaScript au sein de leur navigateur, ou à se tourner vers un autre logiciel qu'Internet Explorer. Microsoft n'a pour l'instant pas commenté cette découverte. On ne sait donc pas si la correction attendra la prochaine livraison mensuelle de correctifs publiés par l'éditeur, prévue pour le 8 décembre prochain, ou si elle fera l'objet d'un correctif exceptionnel.