Vulnérabilité
dans Internet Explorer (22/03/06)
MAJ
11/04/06 : disponibilité d'un correctif
officiel
RESUME
:
Une nouvelle vulnérabilité a été
découverte dans le navigateur Internet Explorer. Un
défaut de sécurité dans
la gestion de la méthode "createTextRange()"
associée à un bouton de type radio peut
permettre à un individu malveillant de prendre
le contrôle à distance de l'ordinateur de sa victime
ou à un virus de s'exécuter automatiquement
lors de la consultation d'une page web piégée
exploitant un script malicieux.
LOGICIEL(S)
CONCERNE(S) :
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 7.0 beta
CORRECTIF
:
Aucun
correctif n'est disponible pour le moment, la vulnérabilité
ayant été rendue publique par son découvreur
sans concertation avec l'éditeur. En attendant la publication
d'un correctif, outre la vigilance vis-à-vis des liens
et fichiers HTML non sûrs, les utilisateurs concernés
peuvent désactiver
l'option "Active scripting" des zones de sécurité
"Internet" et "Intranet Local" (en ajoutant
si nécessaire les sites sûrs habituellement consultés
dans la zone "Sites de confiance" afin d'éviter
que la désactivation de cette option ne perturbe leur
ergonomie). La version Internet
Explorer 7.0 beta 2 Preview (dernière version d'évaluation
du navigateur) n'est pas vulnérable.
INFORMATIONS
COMPLEMENTAIRES :
-> Microsoft
Security Bulletin MS06-013 (en anglais)
-> Microsoft
Security Advisory (917077) (en anglais)
-> FAQ
: comment déterminer le numéro de version de
votre logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être
informé par courriel des nouvelles failles
|