Une vulnérabilité 0-day touche IE6 et IE7

01 juin 2018 à 15h36
0
00B4000001986324-photo-internet-explorer-8-final-logo-clubic.jpg
La publication d'un exploit révèle la présence d'une vulnérabilité qui touche les versions 6 et 7 du navigateur de Microsoft, Internet Explorer, lorsque la prise en charge de JavaScript est activée, sous Windows 2000, XP, et Server 2003. L'éditeur en sécurité Symantec confirme l'existence de cette faille et prévient que si le code malicieux mis en ligne n'est que moyennement efficace, il pourrait donner naissance à de nouvelles menaces, plus virulentes cette fois.

D'après Vupen Security, cette vulnérabilité réside au sein du composant Microsoft HTML Viewer (mshtml.dll) et se situe plus précisément au niveau de la façon dont ce dernier interprète les feuilles de style (CSS pour Cascading Style Sheet), ces fichiers qu'utilisent les webmasters pour régir la mise en forme d'une page HTML.

Le pirate qui souhaite exploiter cette vulnérabilité n'aurait qu'à piéger en conséquence une page Web. Il parviendrait alors à faire s'exécuter le code de son choix sur la machine de la victime. En attendant que Microsoft corrige cette faille, les utilisateurs qui craignent pour leur sécurité sont invités à désactiver JavaScript au sein de leur navigateur, ou à se tourner vers un autre logiciel qu'Internet Explorer. Microsoft n'a pour l'instant pas commenté cette découverte. On ne sait donc pas si la correction attendra la prochaine livraison mensuelle de correctifs publiés par l'éditeur, prévue pour le 8 décembre prochain, ou si elle fera l'objet d'un correctif exceptionnel.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Synology lance des versions économiques de ses NAS
Connecté à Twitter et Office, Linkedin ouvre ses API
Lundi réussi pour le Cybermonday
Murdoch, Microsoft : haro contre Google ?
Bannières : Google acquiert la jeune pousse Teracent
Les 10 projets mobiles phare développés par Qualcomm en 2010
La DGME et Bull font cause commune pour Mon.service-public.fr
Des portables multimédias à GPU dédié chez Asus
L'ENISA met en garde contre les solutions hébergées
Symfony 2.0 va adopter PHP 5.3
Haut de page