Découverte en mai dernier, la vulnérabilité a d'abord été considérée comme mineure car elle ne permettait que de faire "planter" le navigateur et Microsoft n'avait semble-t-il même pas jugé nécessaire de la corriger. Mais un groupe de pirates vient d'annoncer que cette faille est beaucoup plus grave et le prouve en publiant un code d'exploitation fonctionnel capable de prendre le contrôle de l'ordinateur à la seule visite d'un site web piégé (gloups).
La vulnérabilité concerne Javascript, et plus précisément la commande OnLoad lorsqu'elle est utilisée avec la fonction window(). Son exploitation a été confirmée avec toutes les versions de Windows et Internet Explorer 5 et 6, y compris celles entièrement à jour. En l'absence de tout correctif disponible, Internet Explorer est donc à nouveau une cible toute désignée pour les mafias du web, qui vivent de l'installation sauvage de logiciels publicitaires ou de robots (les fameux bots chargés de créer un réseau de PC zombies qui seront ensuite loués pour l'envoi de spam ou l'attaque de sites web commerciaux).
En attendant le correctif, il est fortement conseillé aux utilisateurs d'Internet Explorer de désactiver l'Active Scripting dans les options de leur navigateur ... ou mieux encore de télécharger les navigateurs Opera ou Firefox. ;-)
Lire l'actu sur le site